화면해킹에 발가벗은 전자 사생활
최영철 기자 ftdog@donga.com
시중에 나도는 우스갯소리 중 이런 말이 있다.
“전지전능(全知全能)하신 하느님조차 절대 알 수 없는 세 가지는?”
“서울 시내 교통 상황, 이불 속 사연, 내 컴퓨터와 휴대전화 속 내용.”
변화무쌍한 서울의 교통체증 상황과 성(性) 트러블 때문에 급증하는 이혼 세태, 젊은 세대의 점증하는 사생활보호 욕구를 빗댄 농담이다. 하지만 이 농담도 수정해야 할 때가 왔다. 그중 내 컴퓨터와 휴대전화의 내용은 굳이 하느님이 아니더라도 누구나 알 수 있는 시대가 됐기 때문이다.
‘주간동아’는 최근 등장한 화면해킹 악성코드를 이용해 해킹당한 컴퓨터상의 모든 작업을 해커의 컴퓨터로 훤히 들여다볼 수 있는 충격적인 현장을 목격했다. 화면해킹 악성코드는 해커가 사용자의 컴퓨터에 한 번 설치하면 자신의 컴퓨터에서 사용자의 컴퓨터 화면을 실시간으로 지켜볼 수 있게 만든 소프트웨어 프로그램. 이 악성코드는 e메일 첨부파일, P2P 사이트의 파일, 인맥 구축 사이트의 파일 등에 장착돼 파일을 열거나 다운로드 받는 순간, 사용자의 컴퓨터에 심어진다.
내 정보 쥐락펴락, 하느님과 동격이 된 해커
‘주간동아’와 이 악성코드를 만든 회사가 함께 벌인 해킹 시연에서 한국 금융권의 모든 사이버거래 사이트와 포털사이트의 보안솔루션은 모래성처럼 무너졌다. 해커는 악성코드가 심어진 컴퓨터 사용자의 포털사이트 로그인 아이디와 패스워드, e메일 내용, 주민등록번호, 계좌정보와 인터넷뱅킹 비밀번호, 공인인증서, USB 속 내용까지 모두 파악할 수 있다. 그럼 해커는 인터넷뱅킹을 통해 사용자의 돈을 빼내고, 제멋대로 주식을 판다. 해킹을 당하는 순간 카드는 해커의 것이라고 생각하면 된다. 주식거래통장의 돈도 해커의 통장으로 빠져나가며, 포털사이트의 e메일 내용은 유리알처럼 공개된다.
요즘 주목받고 있는 스마트폰도 예외는 아니다. 모든 정보가 줄줄 새나간다. 모 대학 교수팀이 개발한 ‘트로이 목마’ 바이러스를 스마트폰에 심어놓으면 문자메시지와 각종 정보가 고스란히 해커의 스마트폰으로 옮겨진다. 해킹 악성코드가 심어진 노트북 컴퓨터는 도청기로 돌변한다. 근방 5m 안의 모든 음성이 녹음돼 해커의 컴퓨터로 전송된다. 이렇게 해킹에 사용된 각각의 악성코드와 바이러스는 해킹을 당한 사용자가 절대 알 수 없는 곳에 저장되거나 스스로 삭제돼 들킬 염려가 전혀 없다.
이쯤 되면 한 가지 의문이 생긴다. 사용자 컴퓨터의 모든 것을 볼 수 있다는 화면해킹 악성코드를 이용하면 정부의 홈페이지와 내부망에서 내밀한 정보도 빼낼 수 있지 않을까. 화면해킹 악성코드를 만든 보안업체 관계자는 “각 부처 홈페이지에 담당자의 업무와 연락처, e메일 주소가 모두 노출돼 있기 때문에 누구나 고위 담당자에게 악성코드가 첨부된 e메일을 보낼 수 있다. 물론 e메일과 첨부파일의 제목은 꼭 열어볼 수밖에 없도록 붙여야 한다. 방화벽이 높지 않아 악성코드가 담당자의 컴퓨터에 장착된다면 부처 홈페이지와 내부망을 해킹하지 않고도 고위 관계자가 컴퓨터로 보는 모든 화면을 녹화해 빼낼 수 있다. 부처 e메일이 뚫리지 않는 경우 그 사람이 쓰는 포털사이트의 e메일로 악성코드를 보내면 백발백중”이라고 말한다.
고위 공무원들의 컴퓨터는 유리알
가상의 상황을 설정해 예를 들어보자. 중국 주재 한국대사관에 근무하는 영사 K는 어느 날 자신의 포털사이트 개인 계정으로 한 통의 e메일을 받는다. e메일의 제목은 ‘탈북자입니다. 도와주세요’, 첨부파일의 제목은 ‘기구한 우리 가족의 사연’. 확장자명이 문서파일로 돼 있어 K는 이 파일에 화면해킹 악성코드가 장착돼 있다는 사실을 모른다. 파일 제목도 영사로서 열어보지 않을 수 없는 내용. K가 첨부파일을 다운로드 받는 순간, 자신도 모르게 화면해킹 악성코드가 그의 컴퓨터에 깔린다.
이때부터 해커는 K가 컴퓨터에서 하는 모든 행위와 거기에 담긴 내용을 자신의 컴퓨터로 보면서 녹화한다. 북한과 관련한 극비 문서를 열면 해커는 바로 그 내용을 화면 캡처한다. 중국과의 민감한 외교 현안 문서를 열어도 마찬가지. K가 외교부 홈페이지에 접속하면 아이디와 비밀번호, 공인인증서가 해커의 컴퓨터로 빨려 들어간다. K가 외교부 내부망에 접속해서 하는 모든 행동도 해커의 컴퓨터에 녹화돼 저장된다. K가 금융정보에 접속하면 해커는 모든 개인정보를 알아낸 뒤 사이트에서 계좌를 뒤져 협박할 내용을 찾아낸다.
상상만 해도 무서운 일이지만 실제 화면해킹 악성코드는 이런 위력을 갖고 있다. 만일 여기에 도청해킹 악성코드까지 첨가된다면 피해 상황은 걷잡을 수 없이 커진다. 기자가 보안업체 관계자에게 이런 가상사례를 시연해볼 수 없겠느냐고 요구하자 “감옥에 가고 싶으냐”는 답변이 돌아왔다. 금융보안연구원 관계자는 “정부를 상대로 한 해킹 중 가장 위험한 악성코드가 화면해킹이다. 이에 대한 근본 대책이 필요하다”고 말했다. 그는 또 “국가정보원 국가사이버안전센터가가 1월25일 사이버위기 단계를 ‘정상’에서 ‘관심’으로 상향 조정한 것도 이 때문”이라고 밝혔다.
국가정보원(이하 국정원) 사이버안전센터는 이에 대해 “1월19일부터 해외의 알 수 없는 해킹조직이 우리 정부기관을 대상으로 해킹 e메일을 지속적으로 보내옴에 따라 의심 e메일 열람금지 등 인터넷 사용자 주의 당부와 함께 1월25일 사이버위기 단계를 ‘관심’으로 상향 조정했다. 그런데 최근 공격 양상이 약해져 위기경보를 해제하고 사이버위기 단계를 ‘정상’으로 환원했다”고 밝혔다. 그러면서 국정원은 “앞으로도 모든 공무원은 해킹 의심 e메일의 열람을 금지하는 등 ‘정보보호’ 생활수칙을 지켜달라”고 당부했다.
문제는 각 부처의 공무원이 자신의 이름으로 포털사이트의 개인 블로그를 운영하거나 포털사이트에 e메일 주소를 무심코 노출하는 행위가 다반사로 이뤄진다는 점. 포털사이트의 개인 e메일로 해킹 공격을 해올 경우 사실상 막을 방법이 없다. 그런데도 각 언론사가 운영하는 정무직 고위 공무원의 정보 제공 사이트에는 개인 e메일 주소가 유료로 제공되고 있다. 마음만 먹으면 정부의 기밀을 채가는 것은 시간문제. 한 보안업체 관계자의 말에는 서글픈 우리 사회의 사이버 보안의식이 그대로 투영돼 있다.
“세계 최고의 인터넷 강국이라는 한국의 해킹 보안이 이토록 허술하다는 사실에 가슴 아픕니다. 이제 정부나 금융권이나 해커의 위치에서, 또한 고객과 소비자의 위치에서 해킹 보안에 신경 써야 합니다. 보안업체들이 아우성치면 뭘 합니까. 들으려 하지 않는 것을….”
인터넷뱅킹, 홈트레이딩, 안심클릭·ISP 결제, e메일 충격과 경악의 화면해킹 체험
손영일 기자 scud2007@donga.com
60년 넘는 컴퓨터 해킹의 역사가 말해주듯, 해킹의 종류는 다양하고 진화속도 또한 시간을 거듭할수록 빨라지고 있다. 해킹 사고가 늘어나고 사회적 경각심이 높아지면서 기업 및 정부기관에서는 해당 홈페이지 보안수준을 높이고 있으며, 안철수연구소 등 보안솔루션 업체는 지속적인 보안프로그램 업그레이드로 맞서고 있다. 해커의 창이 뾰족해질수록 이를 막기 위한 보안의 방패도 단단해지는 셈.
기존의 해킹은 일반적으로 사용자가 키보드로 입력하는 정보를 해커가 중간에서 가로채는 방식이었다. 클램피(clampi) 바이러스가 대표적이다. 클램피 바이러스는 사용자가 각종 인터넷 사이트에 로그인을 위해 아이디와 비밀번호 등을 입력하는 순간 개인정보를 포착해 해커가 운영하는 서버로 전송한다.
첨부파일 여는 순간 해커 컴퓨터와 연동
해커가 기업이나 정부기관을 해킹하려면 이중삼중 두터운 보안이 적용된 복잡한 내부 인증과정을 뚫는 수고를 아끼지 않아야 한다. 하지만 상대방의 컴퓨터에서 무슨 일이 벌어지는지를 내 컴퓨터에서 그대로 볼 수 있다면 얘기는 달라진다. 2월17일 기존의 보안프로그램이 새로운 해킹 수법인 ‘화면해킹 악성코드’에 취약하다는 제보를 받고 서울 강남구 삼성동에 자리한 보안솔루션 개발업체 ㈜비이소프트를 찾았다.
“누군가가 중요한 제보사항을 첨부파일에 담아 e메일로 보냈다면, 손 기자는 그 e메일을 안 열어보겠어요?”
“당연히 열어본다”라고 말하자 비이소프트 표세진 대표는 “해커들이 사용자 컴퓨터에 화면해킹 악성코드를 심으려고 일단 마음먹으면 이처럼 간단한 방법으로도 가능하다”고 말했다. 기자에게 ‘제보’라는 제목의 첨부파일이 담긴 e메일을 보내듯 ‘금융 실시간 정보 제공’ ‘모 연예인 몰카 영상 제공’ 같은 제목의 hwp 파일을 보내, 사용자가 그 e메일을 열어보지 않을 수 없게 만든다.
e메일 외에도 P2P 사이트에서 영화나 음악파일을 다운로드 받거나 인기 검색엔진과 블로그, 온라인 잡지 그리고 인맥구축 사이트에 접속해 파일을 주고받는 과정에서 자신도 모르게 화면해킹 악성코드가 컴퓨터에 심어진다.
“공짜로 포르노 영상을 다운받는 P2P 사이트가 있다면 100% 악성코드가 담겨 있다고 보면 됩니다. 자신의 정보와 포르노 영상을 맞바꾸는 셈이니 세상에 공짜는 없죠.”
비이소프트가 만든 화면해킹 악성코드는 e메일에 첨부된 파일을 열어보는 순간 화면해킹 악성코드가 자동 설치되도록 만들어졌다. 컴퓨터에 설치된 다른 파일과 유사하게 존재해 사용자는 이것이 화면해킹 악성코드인지 알 수조차 없다. 예컨대 화면해킹 악성코드가 C드라이브 속 ‘Program Files’ 안의 ‘Common Files’와 유사한 ‘Common Fi1es’로 저장되는 식. 단지 영문 L의 소문자 l을 숫자 1로 바꿔놓기만 했기 때문에 사용자는 컴퓨터에 화면해킹 악성코드가 설치됐는지, 이런 파일이 어디에 존재하는지 전혀 알 수 없다.
일단 사용자의 컴퓨터가 화면해킹 악성코드에 감염되면, 그 순간부터 해커의 컴퓨터와 연동된다. 해커는 사용자 컴퓨터에서 무슨 일이 일어나는지를 수천km 떨어진 곳에서도 마치 바로 앞에서 보듯 확인할 수 있다. 특히 사용자가 해커가 원하는 특정 사이트, 예컨대 은행이나 증권사 등에 접속하면 ‘삐리릭’ 같은 소리를 내도록 해 해커들은 다른 일을 하다가도 이 소리가 들리면 컴퓨터에 앉아 사용자들이 하는 행동을 그대로 지켜본다.
“원리는 간단해 보이는데 고급 해커만이 화면해킹 악성코드를 만들 수 있는 것 아닌가요?”
기자의 질문에 표 대표는 “악성코드는 컴퓨터를 조금이라도 다룰 수 있는 사람이라면 누구나 만들 수 있다”면서 “화면해킹 악성코드 역시 간단한 ‘컴퓨터 원격제어기능’에 ‘키보드 해킹기능’을 추가해 단 하루 만에 만들어냈다”고 설명했다.
“한국에서 적어도 100만명은 이런 화면해킹 악성코드를 만들 수 있습니다. 전 세계적으로 본다면 6000만명 정도는 가능하지 않을까요? 이제 직접 은행 인터넷뱅킹, 증권사 홈트레이딩, 포털 e메일, 쇼핑몰 안심클릭 및 ISP 결제 등 모든 것이 뚫리는 과정을 살펴보겠습니다.”
2 인터넷뱅킹을 하기 위해 국민은행 홈페이지에 접속하자 보안을 위해 액티브X 설치를 요구한다.
3 기자가 공인인증서 로그인을 위해 공인인증서 비밀번호를 치자 악성코드 창에 비밀번호가 그대로 나타난다.
4 해커는 ‘Get Sign’ 버튼을 눌러 사용자 컴퓨터 하드디스크 혹은 USB에 저장된 공인인증서를 해커 컴퓨터로 가져온다.
인터넷뱅킹
공인인증서 해킹, USB 저장도 무용지물
지난해 기준 2192만건 발급 … 하루 30조원 거래
기자 앞에 놓인 2대의 컴퓨터. 하나는 해커 컴퓨터이고 다른 하나는 사용자 컴퓨터다. 사용자 컴퓨터는 해커가 보낸 e메일을 확인하다가 화면해킹 악성코드에 감염된 상태다. 기자가 사용자 컴퓨터를 사용하기로 했고, 비이소프트 직원이 해커 컴퓨터를 사용하는 해커 역할을 맡았다.
해커 컴퓨터는 일반 컴퓨터와 크게 달라 보이지 않는다. 다만 화면 한쪽 구석에 손바닥만 한 화면 창(이하 악성코드 창)이 떠 있다. 글자가 입력되는 넓은 창이 반 이상을 차지하고, 그 밑으로 컴퓨터의 고유번호를 나타내는 맥어드레스가 표시돼 있다. 맨 아래 칸에는 Eraser(글자 입력을 지운다)-IE Kill(컴퓨터를 다운, 브라우저를 닫는다)-Get Sign(공인인증서를 가져온다) 버튼이 장착돼 있다.
해커 컴퓨터를 다루는 직원은 “해킹 툴은 다양하게 변종이 가능하다. 여기서는 화면해킹 악성코드가 어떻게 작동하는지를 눈으로 보여주기 위해 창이 드러나도록 화면해킹 악성코드를 구성했지만, 화면 창이 전혀 나타나지 않고 내부에서 자동 저장된 뒤 해커에게 정보를 알려주도록 만들 수도 있다”고 전했다.
기자는 친구에게 빌린 돈 5만원을 갚기 위해 국민은행 홈페이지에서 인터넷뱅킹을 하기로 했다. 은행에 로그인을 하려면 공인인증서를 사용하거나 은행 홈페이지 아이디와 사용자 비밀번호를 입력해 접속해야 한다. 노트북에 저장된 공인인증서로 로그인을 시도했다. 은행 보안프로그램인 ‘Xecure Web Control V7.2’를 설치하라는 요구에도 군말 없이 응했다.
“a, h, f, f, k, 4, 5, 1, 2….”
공인인증서 비밀번호를 키보드로 입력하자 해커 컴퓨터의 악성코드 창에 공인인증서 암호인 ‘ahffk45…’가 그대로 기록됐다. 기자가 a를 누르면 해커의 해킹화면 창에 a라고 동시에 뜨는 식이다. 기자가 “공인인증서 비밀번호를 알아도 공인인증서가 없으면 접속하지 못하는 것 아니냐”고 되물었다. 해커 컴퓨터는 어떤 공인인증서도 존재하지 않는 깨끗한 상태였다.
기자의 질문에 직원은 말없이 악성코드 창에서 ‘Get Sign’ 버튼을 눌렀다. 그리고 다시 공인인증서 로그인을 시도하자, 불과 몇 초 전까지 공인인증서가 있지 않았던 해커 컴퓨터에 기자의 공인인증서가 저장돼 나타났다.
“화면해킹 악성코드 안에 사용자 컴퓨터에서 해커 컴퓨터로 공인인증서를 가져오라는 프로그램만 설치하면 손쉽게 공인인증서를 가져올 수 있습니다.”
1999년에 처음 등장한 공인인증서는 10년 만인 2009년 12월 발급건수가 2192만 건을 넘어섰다. 인터넷뱅킹 이용건수만 해도 하루 평균 2900만 건이며, 거래금액은 30조원에 이르는 거대시장으로 성장했다.
공인인증서의 보안문제가 불거지자 지난 1월 행정안전부는 공인인증서를 PC에 저장하지 않도록 의무화하는 방안을 추진하기로 했다. 공인인증서 PC 저장을 단계적으로 줄여서 오는 2013년까지 모든 사용자가 공인인증서를 PC에 저장하지 않도록 한다는 것.
6 사용자가 계좌비밀번호 및 보안카드번호를 입력하는 것도 악성코드 창에 그대로 나타난다.
7 키보드 보안을 위해 마우스 입력키를 활용해도 직관적으로 비밀번호를 알 수 있는 화면해킹에는 무력할 뿐이다.
모든 금융정보를 빼낸 해커는 이제 아무 때나 기자의 계좌에서 인터넷뱅킹을 할 수 있다.
직관적 해킹 앞에 보안카드도 무릎 꿇어
보안전문가들은 “하드디스크에 공인인증서 저장을 금지하는 것이 근본적인 대책이 될 수 없다”며 회의적인 반응이다. 표 대표는 “편리성을 중시하는 사용자들이 과연 공인인증서를 이동식 저장장치(이하 USB) 등에 저장하고 다니겠느냐는 점에서 실효성에 의문이 든다. USB도 하드디스크 저장처럼 결국 파일시스템 타입으로 저장한다는 점에서 결코 안전하지 않다”고 말했다. 사용자가 USB를 컴퓨터에 꽂는 순간 USB와 컴퓨터는 일체가 된다. 해커는 화면해킹 악성코드를 이용해 USB 안의 공인인증서를 그대로 복사해 가져갈 수 있다. 해커 컴퓨터에서 모든 공인인증서를 지운 뒤, 사용자 컴퓨터에 기자의 USB를 꽂았다. 직원이 ‘Get Sign’ 버튼을 누르자 USB 속 공인인증서가 복제돼 해커 컴퓨터로 이동했다.
기자는 미리 직원이 해킹 사실을 알려줬기에 공인인증서가 유출된 사실을 확인할 수 있었다. 그러나 보통은 해커가 나서서 “해킹을 했습니다”라고 얘기하지 않는 한, 사용자는 자신의 공인인증서와 비밀번호가 유출됐다는 사실을 전혀 인지하지 못한다. 로그인이 성공하자 계좌이체를 위해 이체 금액을 입력하고, 계좌비밀 번호를 눌렀다. 이 과정 역시 해커의 악성코드 창에서 낱낱이 드러났다. ‘내 비밀번호가 이렇게 허술하게 노출되다니….’ 허탈한 마음을 뒤로한 채 은행이 야심차게 내세운 키보드 보안기능(가상 키보드 기능)에 일말의 기대를 걸었다.
그래서 이번엔 키보드가 아닌 마우스를 이용해 가상 키보드에 비밀번호 숫자를 기입했다. 가상 키보드는 전자계산기처럼 숫자가 배열돼 있는데 색을 입힌 몇 가지 숫자는 임의로 위치가 바뀐다. 하지만 그것도 무용지물. 해커 컴퓨터 화면에 기자가 숫자를 누르는 모습이 모두 보이기 때문에 해커가 단지 자신의 컴퓨터 화면을 들여다보기만 하면 직관적으로 비밀번호가 파악된다. 한니발이 피레네 산맥과 알프스 산맥을 넘어 로마의 허를 찔렀던 것처럼, 화면해킹 악성코드는 직관적으로 사용자 컴퓨터 화면을 읽어내는 것으로 키보드 보안의 허를 찌른 셈이다.
“한 번의 해킹으로 35개의 보안카드 숫자를 전부 파악할 수는 없겠죠?”
기자가 마지막 비장의 무기로 내세운 것은 인터넷뱅킹을 할 때 은행권에서 흔히 사용하는 보안카드. 보안카드는 35개의 비밀번호로 구성돼 있으며 각 비밀번호에 대한 번호가 붙어 있다. 인터넷뱅킹을 하려면 ‘3번 비밀번호’처럼 보안카드 내의 특정 번호에 해당하는 비밀번호를 입력해야 한다.
그러나 보안카드도 화면해킹 악성코드에 일부 기능을 추가하면 무력화된다. 화면해킹 악성코드로 하여금 인터넷뱅킹 과정을 주시하고 있다가 1번 번호는 2465, 22번 번호는 3982 하는 식으로 보안카드 입력번호를 차곡차곡 기록하도록 한다. 해커는 자신이 알고 있는 보안카드 비밀번호(예컨대 1번과 22번)를 물어볼 때까지 계속해서 인터넷뱅킹을 시도하도록 화면해킹 악성코드를 설정해둔다. 보안카드는 고정된 35개의 비밀번호로 구성됐기 때문에 한번 유출되면 해커들은 같은 비밀번호로 공격하는 것이 가능하다.
기자는 평소처럼 인터넷뱅킹을 하는 것만으로 해커에게 공인인증서, 공인인증서 비밀번호, 계좌 비밀번호, 보안카드 등을 고스란히 갖다바친 셈이다. 기자의 모든 개인정보를 파악한 해커는 이제 기자를 아랑곳하지 않고 마음껏 인터넷뱅킹을 하며 기자의 은행 계좌를 유린할 수 있다.
“제가 해킹한 (기자의) 금융정보로 인터넷뱅킹을 시도하겠습니다.”
직원은 미리 해킹한 공인인증서와 공인인증서 비밀번호를 가지고 기자의 인터넷 계좌에 접속했다. 계좌에 들어 있는 돈 100만원을 미리 준비한 대포통장으로 인터넷뱅킹 하려는 것. 출금금액 100만원을 표시하고 계좌 비밀번호를 눌렀다. 미리 알아낸 보안카드 번호를 집어넣고 공인인증서로 결제하니 단 5초 사이에 100만원이 기자 통장에서 직원이 지정한 통장으로 빠져나갔다.
시연은 여기서 끝났지만 실제 범죄는 좀더 치밀하게 진행된다. 돈이 빠져나감과 동시에 해커는 은행에 대기 중인 또 다른 동료 1에게 전화를 건다. “송금완료”라는 말과 함께 동료 1은 통장에서 100만원을 출금한다. 동료 1은 출금과 동시에 유유히 사라지고 이를 감시하는 동료 2도 뒤따른다. 영화 ‘범죄의 재구성’의 한 장면처럼 작업은 일사천리로 끝나버린다.
주식 홈트레이딩
증권사, 은행과 동일한 위험 노출
빼낸 금융정보로 주식매매, 상대방 피해주기 가능
“자본시장통합법(이하 자통법)이 시행돼 증권사 고객도 일반 은행을 이용하는 것과 차이가 없는 서비스를 받을 수 있게 됐습니다.”
비이소프트 오동근 영업팀장은 “자통법의 시행으로 인터넷상에서 은행과 증권사의 차이가 거의 없어졌다”고 말했다. 요즘은 A씨가 친구인 B씨의 은행계좌로 현금 100만원을 송금한다고 할 때, A씨는 자신의 증권계좌를 통해 일반 은행의 인터넷뱅킹처럼 100만원 송금주문을 간단히 처리하면 된다. B씨 또한 송금주문이 처리되는 즉시 돈을 찾을 수 있고. 그러나 자통법 시행 이전에는 증권사 고객이 증권계좌만으로는 입출금과 송금, 각종 공과금 납부 등을 할 수 없어 증권사가 제휴한 은행에 연계계좌를 만들어야 했다.
은행의 편리한 기능을 증권사가 누리게 된 만큼, 증권사 계좌에서의 금융작업 역시 앞서 인터넷뱅킹과 마찬가지로 화면해킹에 무방비로 노출될 위험이 커졌다. 기자가 현대증권 홈페이지에서 로그인을 위해 ID, 비밀번호, 공인인증서 비밀번호를 집어넣자, 실시간으로 해커컴퓨터 악성코드 창에 이것들이 그대로 기록됐다. 물론 증권사 내부 보안프로그램은 작동 중이었다. 사용자의 금융거래 과정을 지켜보다 계좌 비밀번호와 보안카드 번호를 빼내 사용자의 증권계좌에서 해커가 지정한 대포통장으로 송금하는 것은 인터넷뱅킹 사례와 동일하다.
해커는 해킹한 금융정보를 바탕으로 주식매매도 자유롭게 할 수 있다. 다만 주식을 팔면 3일 뒤에 계좌로 돈이 들어오기 때문에 홈트레이딩으로 직접 주식 매매를 해서 돈을 빼돌리는 것은 쉽지 않다. 다만 주식 1주가 아쉬운 경영권 다툼이 벌어질 때는 상황이 달라진다. C회사의 경영권을 놓고 대주주 2명이 주식 매집을 하는 상황을 가상해보자. 대주주 A는 해커들을 시켜 B가 가진 C회사 주식을 팔도록 부탁한다. 해커들이 B의 증권계좌 정보를 화면해킹을 통해 알아낸 뒤 임의로 증권사 홈트레이딩 시스템에 접속해 매도 주문을 낸다. 이때 매수 주문을 계속 넣고 있던 A는 B의 주식이 매도됨과 동시에 이를 수중에 넣는다. 결국 지분 싸움은 A의 승리로 끝난다. 그래도 해커들의 행방을 찾기는 어렵다. 중국인지 미국인지 알 수 없다.
주식매매를 통해 내가 이득을 볼 수는 없어도 상대방에게 피해를 주는 것은 가능하다. 예를 들면 주식 폭락 뒤 반등이 예상되면서도 매도해버리거나, 반대로 최고점을 찌른 뒤 폭락이 예상되면서도 계속 매수하게 해 악의적으로 사용자에게 손해를 끼치는 방식이다.
금융감독원은 고액 거래를 하지 않는 개인이라도 복제가 쉬운 보안카드보다 안전한 OTP 발생기를 이용하길 권한다. OTP만 있으면 완벽하게 정보 유출을 막을 수 있다는 자신감이 엿보인다. 일례로 OTP 발생기 등을 발급받으면 보안 1등급이 주어진다. 법인은 보안 1등급 조건을 갖추지 않으면 인터넷을 통해 자금이체를 할 수 없다.
개인의 경우 인터넷뱅킹 1회 이체한도가 1등급은 1억원(하루 5억원)으로 제한된다. 텔레뱅킹 1회 이체한도는 1등급 5000만원(하루 2억5000만원). 이전까지는 보안등급에 상관없이 인터넷뱅킹은 1회 1억원, 텔레뱅킹은 1회 5000만원으로 일원화됐었다.
OTP의 신화는 농림수산식품위원회 간사인 김우남 의원(민주당)이 2009년 국감 기간에 “농협과 수협의 인터넷뱅킹 이용 시 OTP가 쉽게 뚫린다”는 의혹을 제기하면서 흔들리기 시작했다. 해킹 방법은 다음과 같다. 피해자가 농협 홈페이지에 접속해 금융결제원의 공인인증을 거쳐 접속에 성공한다. 계좌이체 배너에 클릭하자 OTP를 묻는 창이 뜬다. OTP 기계가 생성해낸 번호를 정확히 입력했음에도 오류 메시지가 뜨고, 그러는 사이 피해자가 누른 OTP 비밀번호가 해커의 컴퓨터로 전송돼 해커는 이를 가지고 계좌에서 자금을 빼낸다.
화면해킹 프로그램도 이와 유사한 방식으로 OTP를 뚫고 해킹이 이뤄진다. 사용자가 OTP를 통해 비밀번호를 부여받고 이를 입력하면 해커의 악성코드 창에는 그 비밀번호가 그대로 나타난다. 이때 사용자가 확인을 누르면 사용자 컴퓨터에서만 로그인이 이뤄지고, 해커는 로그인이 안 된다. 중복 로그인이 되지 않기 때문이다. OTP에서 생성된 비밀번호는 1회만 적용되고 사라지기 때문에 해커가 로그인을 하기 위해서는 사용자가 다시 로그인을 할 때를 기다렸다가 새롭게 생성된 OTP 비밀번호를 해킹해야 한다.
따라서 해커는 사용자가 OTP 비밀번호를 넣고, 확인을 누르기 직전 ‘IE Kill’ 버튼을 누른다. 그러면 악성코드는 사용자의 브라우저를 닫거나 컴퓨터를 다운시켜버린다. 사용자가 컴퓨터를 켜서 다시 로그인을 하기 전까지, 해커는 재빨리 사용자의 OTP 비밀번호로 로그인을 한 뒤 인터넷뱅킹을 한다.
이론상으로는 하나의 OTP 번호를 1분 이내만 사용할 수 있다. OTP 인증을 담당하는 금융보안연구원 관계자는 “설정된 상황에서 가능할지 몰라도 실제 OTP를 해킹해 인터넷뱅킹까지 하려면 1분을 초과할 것”이라고 지적한다. 하지만 공인인증서를 빼냈고, 공인인증서 비밀번호, 계좌 비밀번호, 보안카드 번호 등을 다 알고 있는 상황이라면 충분한 시간이다. 해커들이 평소 대규모 금액을 이체하는 특정인을 겨냥해 미리 세팅하는 경우를 상상하면, 결코 불가능한 시나리오는 아니다.
포털 e메일
포털 속 ‘유리지갑’ e메일, 은밀한 사생활이 샌다
대부분 같은 아이디와 비밀번호 사용 보안에 취약
“사랑하는 쩡아에게.”
“오빠 쩡아야.”
2007년을 떠들썩하게 했던 ‘변양균·신정아’ 파문. 검찰이 신씨의 컴퓨터를 압수해 복구하는 과정에서 변양균 당시 청와대 정책실장과 신정아 씨가 주고받았던 e메일이 유출됐다. 본인의 의사와 무관하게 e메일이 공개됐다는 점에서 박사 학위 위조, 로비 여부 등 사건의 본류와는 별도로 프라이버시 침해 논란이 여론을 뜨겁게 달궜다. 이 와중에 검찰은 “연인 관계인 사람들이 주고받을 법한 ‘낯 뜨거운’ 내용도 있다”고 전해 논란에 불을 지폈다.
‘사랑은 연필로 쓰세요’라는 유행가 가사는 이제 철 지난 옛 추억이 됐다. 직접 펜으로 편지를 써서 주고받는 경우는 거의 없다. 심지어 군대에 있는 애인과도 e메일을 통해 안부를 주고받을 정도. 개인 간의 은밀한 사생활이 담긴 내용을 주고받는 것은 물론이거니와 공과금 납부서, 카드 명세서 등 각종 정보도 e메일을 통해 들어온 뒤 고스란히 e메일함에 보관된다.
그러다 보니 개인의 e메일은 해커들의 주요 먹잇감이 됐다. 일반적으로 한 사이트에서 아이디와 비밀번호를 정하면 대부분 다른 포털과 사이트에서도 같은 것으로 등록하는 경우가 많다. 가입하는 사이트 수가 많아지면 일일이 기억해내기가 어렵기 때문이다. 이는 역설적으로 한 사이트에서 아이디와 비밀번호가 해킹되면 그 사람이 가입한 모든 사이트에서 개인정보가 유출될 위험이 커진다는 얘기다.
국내 최대 보안시스템을 자랑하는 네이버. 로그인을 하려고 하자 ‘보안로그인 3단계’가 뜬다. 하지만 화면해킹 악성코드 앞에서는 속수무책이다. 기자가 아이디와 비밀번호를 치는 순간 네이버 포털 아이디와 비밀번호는 악성코드 창으로 전송됐지만, 보안로그인은 멀뚱멀뚱 쳐다만 볼 뿐이었다. 해커 역할을 맡은 직원이 유출된 기자의 아이디와 비밀번호를 가지고 네이버 e메일함에 들어갔다. 마침 파라다이스 홍보팀에서 기자에게 보낸 ‘카지노 소송 관련 정보’가 담긴 e메일이 들어와 있다.
“만약 소송의 당사자인 SK에서 손 기자의 e메일을 해킹해 이 정보를 알아냈다면 손 기자가 쓰려는 기사 내용을 한발 앞서 예측해 선제 대응하지 않았을까요?”
지금까지 문제가 된 e메일 해킹은 포털에서 사용하는 일반적인 e메일의 경우였다. 그렇다면 내부인증서를 발급받아야만 들어갈 수 있고 여타 사이트보다 보안수준이 높은 회사 혹은 정부기관의 내부 e메일은 어떻게 해킹할 수 있을까?
“내부 보안망을 뚫는 것이 쉽지는 않습니다. 하지만 화면해킹은 상대방의 컴퓨터를 실시간 그대로 볼 수 있습니다. 내가 인증해서 들어가지는 못하더라도 사용자가 자신의 e메일을 보는 순간 해커도 동일하게 그 상황을 지켜볼 수 있습니다.”
회사 신기술 노하우가 담긴 정보를 e메일로 받았다. 이중삼중의 보안프로그램이 작동돼 해당 회사 e메일을 직접 해킹할 수는 없다. 하지만 화면해킹 악성코드가 심어져 있다면 힘들여 내부 e메일 시스템을 해킹할 필요가 없다. 세상에서 가장 편한 자세를 취하며 그저 자신의 컴퓨터만 쳐다보면 된다. 사용자가 내부인증을 통해 회사 내부 e메일함으로 들어가고 회사 e메일을 펼쳐보는 모습을 그저 쳐다보고만 있으면 된다.
카드 결제
안심클릭·ISP 카드정보 유출→게임머니 구입 후 즉시 현금화
소액을 반복해서 자동으로 처리하는 프로그램
1월25일 신한·삼성·현대·롯데카드 4개 카드사의 상당수 고객이 2009년 11월부터 최근까지 지속적으로 신용카드 부정결제 피해를 당해 피해금액이 수억 원에 이른다는 보도가 나왔다.
안심클릭은 삼성카드, 현대카드 등 비은행권 신용카드 결제에 주로 쓰는 결제방식. 안심클릭은 온라인 거래 때 결제금액이 30만원 미만이면 활용하는 것으로, 고객이 미리 설정한 ‘안심클릭 비밀번호’와 카드 뒷면 숫자 중 마지막 3자리인 ‘CVC(카드인증코드)번호’(카드사에 따라 CVV번호)를 차례로 입력하는 방식으로 결제가 이뤄진다. 이는 역으로 카드번호와 안심클릭 비밀번호, CVC 번호만 알면 온라인에서 아무런 제약 없이 신용카드를 사용할 수 있다는 뜻이다.
기자는 인터파크 쇼핑몰에서 도서를 구입하기 위해 책을 몇 권 고른 뒤, 결제창을 클릭했다. 결제수단은 안심클릭을 이용하는 삼성카드. 승인창이 뜨자 카드번호를 치고, 비밀번호와 CVC번호를 집어넣었다. 동시에 해커의 악성코드 창에는 기자의 카드번호와 비밀번호, CVC번호가 그대로 나타났다. 공인인증서 역시 인터넷뱅킹 사례에서 보듯 ‘Get Sign’ 버튼을 클릭해 그대로 가져갔다.
안심클릭만 화면해킹 악성코드에 취약한 것은 아니다. 이번에는 ‘우리카드’를 이용해 안전결제(ISP)를 해보기로 했다. 안심클릭과 마찬가지로 기자가 카드번호를 치고 비밀번호를 설정한 뒤, CVC번호 입력을 차례대로 진행했다. 그러자 모든 과정이 실시간으로 해커 컴퓨터로 전송돼 악성코드 창에 나타났다.
해커는 사용자로부터 빼낸 카드 정보를 어떻게 이용할까? 만약 해커가 얻어낸 사용자의 카드정보로 쇼핑몰에서 물건을 산다면 카드결제와 동시에 이용내역이 사용자의 휴대전화로 전송된다. 이상함을 느낀 사용자가 쇼핑몰에 확인을 하고, 즉각적으로 결제취소를 하면 돈이 빠져나가는 것을 방지할 수 있다. 나아가 주문한 상품이 배송되는 장소에서 숨어 있다가 카드정보를 빼낸 해커의 덜미까지 잡을 수 있다.
이렇다 보니 해커는 사용자의 카드정보를 이용해 직접 물건을 구입하지 않고, 실시간으로 현금화할 수 있는 게임머니를 사버린다. 게임머니를 카드결제와 동시에 구입한 뒤 바로 현금화하는 식이다. 바로바로 카드결제를 하고 현금화하는 프로그램을 만든 뒤 돈을 챙기고 순식간에 사라진다. 한꺼번에 많은 금액을 현금화하면 게임회사에서도 의심을 하기 때문에 ‘소액을 반복해서 자동으로’ 처리하는 프로그램을 만드는 것이다.
3시간이 넘는 시연 과정을 통해 은행 인터넷뱅킹, 증권사 홈트레이딩, 포털 e메일, 쇼핑몰 안심클릭 및 안전결제 그 모든 것이 허무하게 해킹됐다. 기자의 공인인증서, 공인인증서 비밀번호, 계좌 비밀번호, 아이디 등 개인정보가 해당 사이트 내 보안프로그램이 작동했음에도 어떠한 제재 없이 그대로 유출됐다.
화면해킹 악성코드에 대해 해당 금융기관들은 “해킹 기술의 진화속도를 고려할 때, 화면해킹의 기술적 가능성은 인정된다”면서도 “데모 시연 상황인 만큼 반드시 모든 컴퓨터가 화면해킹에 노출된다고는 할 수 없다. 컴퓨터마다 보안프로그램이 강화돼 화면해킹 악성코드가 쉽게 깔리지는 않을 것이다. 또한 화면해킹 가능성을 인지하고 금융권 나름대로 보안프로그램 마련을 하고 있다”고 밝혔다(28쪽 참조).
화면해킹 악성코드는 비이소프트가 신종 해킹 가능성을 제기하며 임의로 만든 해킹 프로그램이다. 아직까지 시중에서 발견된 것은 아니지만, 해킹 기술의 진화속도를 고려할 때 당장 나타난다고 해도 결코 이상한 일은 아니다. 그럼에도 현재의 보안 프로그램으로는 화면해킹 악성코드에 전혀 대응하지 못한다는 점에서 시급한 보완이 요구된다.
유세이프온은 이미지 기반 응용솔루션이다. 쉽게 말해 외부화면에 유출되지 않는 가상 키보드를 제공해 사용자의 입력정보가 해커 컴퓨터 악성코드 창에 나타나지 않게 만든다. 윈도 XP, 윈도 비스타 같은 윈도 운영체제를 사용하지 않고 그래픽카드를 직접 제어한다. 윈도 운영체제에 독립적이기 때문에 윈도 자원을 사용하는 화면 캡처를 방지하며 원격 화면해킹을 원천적으로 방지한다.
유세이프온이 적용된 광주은행의 홈페이지에서 기자가 직접 계좌이체를 시도했다. 사용자 컴퓨터에서 출금계좌 정보의 계좌 비밀번호 칸에 ‘보안입력’ 버튼을 누르자 ‘I-DAS’라는 가상 인터페이스 부분이 나타났다. 반면 해킹을 시도하는 해커의 컴퓨터에서는 해당 부분이 전혀 보이지 않았다.
“사용자가 가상 인터페이스에서 숫자 보기를 눌러 비밀번호를 마우스로 입력하는 장면이 해커 컴퓨터에서는 단지 마우스 키가 움직이는 것으로 보입니다.”
지난해 10월22일 유세이프온 도입 계약을 체결해 테스트 중인 하나은행의 홈페이지에서도 유세이프온을 적용해 계좌이체를 해봤다. 공인인증서 로그인을 하기 위해 ‘인증서 로그인’ 버튼을 누르자 공인인증서가 저장된 팝업창이 나타났다. 기존의 로그인 창과 달리, 확인 버튼 좌측에 ‘마우스 입력’ 버튼이 있다. 해당 버튼을 누르자 가상의 키보드 입력기가 나타났다. 역시 해커 화면에는 해당 가상 키보드가 보이지 않았다. 아이디, 비밀번호 입력을 통한 로그인도 마찬가지였다.
설사 다른 방식으로 로그인 번호를 알아내 들어왔다고 해도 계좌 비밀번호를 입력하는 1단계 과정에서 다시 한 번 화면해킹이 방지된다. 마우스 입력키를 누르자 해커 컴퓨터에서는 보이지 않는 비밀번호 입력기가 떴다. 1단계가 뚫릴지라도 2단계 보안카드 입력에서 다시 한 번 제동이 걸린다.
“사용자가 마우스 입력키를 누르면 또다시 가상의 ‘비밀번호 입력기’가 나타납니다. 이때 해커 화면에는 ‘보안 프로그램 작동 중’이라는 표시만 뜹니다. 해커는 사용자가 무슨 일을 하는지 전혀 알 수 없습니다.”
비이소프트 표세진 대표는 “유세이프온은 특정 영역의 완벽한 화면해킹 보안이 가능하며 증권사의 주식거래 시스템(HTS) 등 응용 프로그램에 대한 보안 지원도 하고 있다”며 “자동 업데이트를 통해 사용자의 불편을 최소화하기 위해 노력하고 있다”고 밝혔다(29쪽 참조).
최영철 기자 ftdog@donga.com
화면해킹 위험성 알면서도 방치 … “돈 없어 못 막겠다” 뻔뻔함 여전
| 최영철 기자 ftdog@donga.com |
‘소 잃고 외양간 고친다.’
이 속담이 딱 들어맞는 세상이 있다. 한국의 인터넷 해커들과 이를 막는 보안솔루션 프로그래머들 간의 전쟁 공간이 바로 그곳. 해커가 새로운 해킹 프로그램을 개발해 인터넷에 뿌리고, 그로 인해 피해사례가 발생하면 우리 정책당국과 각 금융기관은 그제야 부랴부랴 보안솔루션 프로그램 개발에 들어간다. 이미 창이 날아들어 아군은 죽어가는데 그때부터 방패를 만드는 형국이다.
소 잃고 외양간을 고치지 않는 경우도 적지 않다. 올 1월 경찰이 수사에 들어가면서 세상에 알려진 인터넷소액결제서비스 ‘안심클릭’ 해킹 피해사례가 그것이다. 건수로는 2000여 건, 금액으로는 2억원 이상의 피해가 발생한 이 해킹 사고에는 키보드 해킹 악성코드가 주로 사용됐다. 각종 인터넷 포털사이트에 이 악성코드가 담긴 여러 종류의 프로그램을 올려놓고 개인이 이를 다운로드 받게 한 것. 개인 PC에 저장된 악성코드는 PC 사용자가 키보드로 입력하는 내용을 해커가 지정한 특정 e메일로 전송했다. 해커는 이 내용을 분석해 개인의 신상 정보, 비밀번호, 카드 정보(CVC 포함)를 알아낸 뒤 소액결제를 하는 데 사용했다.
지난해 7월 금융보안연구원서 시연
문제는 이런 키보드 해킹 악성코드는 매우 초보적인 기술로도 쉽게 만들 수 있고, 이번이 첫 피해사례도 아니며 각 금융기관은 물론 보안업체들조차 그 위험성을 이미 오래전부터 알았다는 점. 그런데도 각 금융기관은 실질적 대책을 세우지 않았다. 삼성카드, 롯데카드 등 5개 카드사는 지난해 11월 말부터 피해사례 신고가 들어왔지만 이를 쉬쉬하다 경찰이 수사에 들어가자 마지못해 이를 인정했다. 이들은 동일한 피해를 막기 위한 대책을 2월 말 현재 내놓지 못하고 있다. 공인인증서 의무사용 대상을 30만원 미만 소액결제 고객으로 확대한 게 대책의 전부. 공인인증서가 키보드 해킹 앞에 무용지물이라는 사실은 해킹과 사이버 보안에 조금이라도 관심이 있는 사람은 모두 아는 것이다.
실제 ‘주간동아’가 인터넷뱅킹, 카드결제, 주식거래, 계좌이체 등 각 사이버상의 금융거래를 해킹하는 데 이용한 화면 해킹 악성코드는 개별 고객 컴퓨터의 하드웨어는 물론, 이동식저장장치(USB) 안에 있는 공인인증서조차 간단하게 해커의 컴퓨터로 빨아들였다. 해커는 피해자의 컴퓨터에 심어진 악성코드를 이용해 그 컴퓨터와 거기에 연결된 USB에서 일어나는 모든 동작을 실시간으로 훔쳐보고, 녹화하며, 파일과 정보를 빼내갔다. 해커는 이렇게 알아낸 정보를 이용해 각 금융기관이 설치한 보안 프로그램을 무력화하며 남의 돈과 주식을 빼내갈 수 있었다.
충격적인 사실은 이런 화면 해킹 악성코드에 대한 정보와 위험성이 이미 지난해 7월 공개적으로 각 금융기관에 알려졌다는 사실이다. 보안솔루션 개발 공급업체인 ㈜비이소프트는 지난해 7월2일 금융보안연구원의 초청으로 40여 명의 은행권 보안담당자가 모인 가운데 자신들이 만든 화면 해킹 악성코드가 어떻게 각종 포털과 금융권의 보안솔루션을 무력화하는지 시연했다(가상 키보드 및 화면 해킹 기술 세미나).
금융보안연구원은 금융권의 해킹 방지와 보안솔루션 개발지원을 담당하는 정부출연기관으로, 이곳이 일개 보안업체가 만든 악성코드의 위험성에 대해 시연을 하도록 한 것은 그만큼 각 금융권 사이버 거래 시스템의 보안솔루션을 위협할 가능성이 컸기 때문이다. 비이소프트 측은 이후로도 각 증권사와 일부 은행을 찾아 이 악성코드의 위험성을 알렸다.
하지만 이런 경고 앞에 제대로 된 대책을 세운 곳은 하나은행 한 곳밖에 없었다. 대부분의 금융기관은 “위험성은 알지만 예산이 없다” “여러 보안프로그램을 달아놓으면 고객 PC에 장애가 일어난다” “고객 PC와 메일에 악성코드를 막을 보안장치 또는 안전장치가 제대로 깔려 있기 때문에 화면 해킹코드가 심어질 가능성이 낮다”라는 반응을 보였다. 심지어 “피해가 실제 발생하면 그때 생각해보겠다”고 말한 곳도 있었다.
인터넷 포털 메일 통할 땐 사실상 무방비
한 해 계좌이체와 주식거래, 카드결제 수수료만으로 각각 수천억 원을 벌어들이는 금융기관들이 한 해 수억 원의 예산이 없어 해킹의 위험을 방치한 것이다. 또 뒤의 두 가지 답변에 대해 전문가들에게 취재한 결과, 사실과 거리가 먼 것으로 드러났다. 화면 해킹 악성코드에 대한 보안솔루션인 ‘유세이프온’을 개발한 비이소프트 측은 “고객 PC에 일어날 장애에 대비하기 위해 오랜 시간과 비용을 투자했고, 이는 금융보안연구원 시험을 통해서도 검증이 됐다”고 밝혔다. 금융보안연구원 관계자도 “문제가 있어 보완을 지시했고 지난해 11월 장애문제는 해결됐다”고 확인했다.
또한 화면 해킹 악성코드의 e메일 통과 여부는 전문가들의 설명에 따르면 일부 정부 부처나 언론사, 대기업 등 악성코드에 대한 방어벽이 민감하고 두꺼운 곳의 e메일이 아니고는 90% 이상 다운로드가 가능하다.
특히 인터넷 포털 메일은 이 악성코드에 대해 유리알과 같다는 게 전문가들의 주장이다. 더욱이 이 악성코드는 e메일 형태가 아니더라도 인터넷 포털의 프로그램 다운로드만으로도 퍼질 수 있기 때문에 아무리 개인의 보안, 안전장치가 철저해도 무방비 상태일 수밖에 없다. 각종 백신을 무료로 공급하는 안철수 연구소는 해당 악성코드가 실제 인터넷 포털에 퍼지기 시작하면 그제야 대응 백신의 연구에 들어가기 때문에 화면 해킹 악성코드에 대한 백신은 나와 있지 않은 상태다.
금융보안연구원 관계자는 “금융권 인터넷 거래 사이트의 보안솔루션이 취약한 부분이 많다는 점은 인정한다. 이를 막을 수 있는 기술적 대안, 새로운 보안솔루션 프로그램을 꾸준히 제시하고, 지원하고 있지만 어떤 것을 선택하고 설치할지는 각 금융기관의 몫”이라고 말했다.
“곧 닥쳐올 피해 대비 … 새로운 버전 준비”
“외부 화면에 유출되지 않는 가상 키보드를 제공함으로써 사용자의 입력 정보를 해킹 프로그램으로부터 안전하게 보호하며 특정 출력정보 영역의 화면 해킹이나 캡처를 막는 보안솔루션이다.”(27쪽 상자기사 참조)
화면 해킹 악성코드를 만든 이유가 뭔가. 유세이프온을 판매하기 위해 일부러 만들었다는 설이 있다.
“왜들 그러는지 모르겠다. 우리가 만든 화면 해킹 악성코드는 배포용이 아니다. 초등 프로그래머 수준 이상이면 하루 이틀 만에 만들 수 있다. 찾아내려고 노력을 하지 않아서 그렇지 지금 P2P사이트나 해외 관련 사이트엔 널려 있다. 우리가 시연을 하면서 기자의 e메일로 악성코드를 보내지 않는 이유도 법에 저촉되기 때문이다. 언론사를 못 믿어서가 아니라 만에 하나 있을지 모르는 유출사고를 막기 위해서다. 최근 해킹 피해 경향을 보면 이런 종류의 화면 해킹 악성코드 피해는 곧 닥쳐올 미래다. 그러면 걷잡을 수 없는 피해가 발생한다. 우리는 그걸 미연에 막기 위해 유세이프온을 개발했고 여러 곳에서 시연을 했다.”
그래도 금융권은 고운 눈으로 보지 않는 것 같다.
“위험성을 보여주고 대안을 찾자는 것인데 우리를 폄훼하려고만 한다. 사실 위험을 알리고 대비해야 하는 일은 각 금융기관과 기업이 먼저 나서야 하는 거 아닌가. 해킹 프로그램을 누가 만들었든 화면 및 키보드 정보가 실제로 해킹당하는 상황만큼은 사실이다. 금융권의 보안의지가 부족한 것일 따름이다. 단 한 개의 악성코드나 바이러스가 발견돼도 이를 막기 위한 노력을 해야 하는데 ‘다 짜고 한 게 아니냐’고 말하는 걸 보면 정말 기가 막힌다. 이런저런 이유를 들어 새로 개발된 화면해킹 방지 솔루션을 알아보려고도, 적용하려고도 하지 않는 상황이 안타깝다. 얼마나 많은 사람이 금전적, 정신적 피해를 봐야 정신을 차릴지 정말 답답하다. 더 이상 소 잃고 외양간 고치는 일은 반복하지 말아야 한다.”
아직까지 유세이프온을 적용하려는 금융기관이 적은 것 같은데.
“새로운 해킹 방식의 피해가 발생하면 이를 따라가는 대응방식에도 변화가 있어야 한다. 실제 영업을 나가면 ‘실증적 사례가 없으니 현재는 고려할 단계가 아니다’고 말하는 경우가 많다. 예방 차원에서의 접근이 필요하다. 꼭 우리 것을 써달라는 말이 아니다. 다만 유세이프온은 윈도 운영체제에서 독립적이고 그래픽카드를 직접 제어하는 유일한 화면 해킹 방지 보안솔루션이라는 점만 강조하고 싶다. 윈도 운영체제에서 작동하는 보안솔루션은 화면해킹에선 한계가 분명하다.”
유세이프온을 일반인에게 무료로 배포할 생각은 없는가.
“각 금융기관과 포털 등에 공급한 뒤 일정 시간이 지나면 무료 배포할 생각이다. 일정 시간이 지나면 유세이프온도 뚫는 해킹 악성코드가 등장할 것이다. 우리는 항상 우리의 보안솔루션을 공격할 수 있는 모든 경우에 대비해 새로운 버전을 출시할 준비가 돼 있다.”
3~5m 이내 음성 녹음, 외부로 전송 … 팜톱PC·PMP도 안전에 구멍
김규태 동아사이언스 기자 kyoutae@donga.com 
“김 부장, 이번엔 A펀드에 대해 보고해주세요.”
“A회사는 3분기 연속으로 매출 신장률이 두 자릿수를 기록했습니다. 최근 보도와 기술개발 동향에 따르면 이 회사의 가치는 계속 올라갈 것으로 예상됩니다. B사에 투자했던 자금을 회수해 A사 주식을 사는 게 좋겠습니다.”
“그럼 조처를 취하고 다음 주 중 적당한 시점을 잡아 매수에 들어가세요.”
Z증권 펀드매니저인 김 부장은 임원회의에 보고한 대로 A사 주식을 매수하려 기다리고 있었다. 그런데 회의를 마치고 나온 지 얼마 되지 않아 한 통의 전화가 왔다. B사 주식을 팔지 말라는 전화였다. 괴전화의 주인공은 이상하리만큼 자신의 분석 내용을 정확하게 알고 있었다. 회의에 참석한 사람이라는 착각이 들 정도. 김 부장은 ‘혹시 회의실에 도청장치가 있는 것은 아닐까’ 하는 의심이 들었다. 회의실에 있는 전자기기는 노트북 컴퓨터, 프로젝터, 회의 참가자의 휴대전화뿐이었다.
당신은 이런 경험이 없는가? 김 부장처럼 기밀업무를 다루지 않더라도 이해관계가 첨예하게 얽히는 직종에 종사하다 보면 이 같은 경험을 가끔 하게 된다. 정부, 정보기관, 금융회사, 언론사 종사자들은 언제 도청당할지 모른다는 생각을 한다. 도청이라고 하면 보통 누군가가 사무실과 같은 정해진 공간에 침입해 소형 마이크를 설치하고 원격으로 녹음하거나, 음성 전화기의 회선을 활용해 남의 말을 엿듣는 것을 가리킨다.
e메일로 도청 악성코드 심기
하지만 최근에는 노트북 컴퓨터라는 디지털 기기를 활용한 도청기법이 쓰인다. 아날로그 음성을 그대로 수집한다는 점에서는 과거의 도청기법과 다름이 없다. 충격적인 것은 평범한 노트북 컴퓨터가 해커의 의지에 따라 최첨단 도청기기로 돌변한다는 점. 해커는 e메일로 남의 노트북 컴퓨터에 도청 프로그램을 심어놓고, 이를 통해 음성을 빼간다.
이러한 사실은 한 보안전문가 집단이 제보했다. 앞의 사례에서 보듯 요즘은 회의 시간에 필기를 하는 대신 노트북 컴퓨터를 이용하는 경우가 많고, 또 컴퓨터를 프로젝터와 연결해 발표를 하기도 한다. 회의는 대체로 노트북 컴퓨터 주변 3~5m에서 진행된다. 만일 노트북 컴퓨터의 마이크로 회의 내용을 기록해 통신망을 통해서 이를 외부로 전송하면 고스란히 기밀이 새나간다. 노트북 컴퓨터뿐 아니라 마이크 등 집음 장치가 들어간 디지털 기기는 잠재적으로 도청장치로 활용될 수 있다는 주장이다.
“제가 지금 e메일을 보낼 테니 한번 확인해보세요.”
1월5일 기자는 제보 내용을 확인하고자 보안전문가들의 모임인 시큐어연구회를 찾았다. 이 연구회의 이경태 회장은 대뜸 기자에게 그 자리에서 e메일부터 확인하라고 했다. 취재에 앞서 해킹과 관련한 몇 가지 질문을 했는데, 그에 대한 답변을 e메일에 첨부문서 형식으로 보내놓았다는 것.
기자는 가지고 간 노트북 컴퓨터를 켜고 인터넷에 접속해 압축파일을 다운로드한 후 문서를 열어 읽었다. 그러고 난 뒤 이 회장과 이날 취재 내용에 대해 얘기를 나눴다.
“평소 해킹을 막으려면 어떻게 해야 합니까?”
“최근 중국 해커들의 동향은 어떻습니까?”
대화를 시작한 지 10분 남짓 되었을까. 이 회장은 “이제 됐다”며 벌떡 자리에서 일어나더니 건너편 사무실에서 노트북 컴퓨터 하나를 가져왔다.
“e메일에 첨부된 파일을 확인하셨죠? 그럼 제가 놀라운 도청 신기술을 알려드리겠습니다.”
이 회장이 가져온 PC 바탕화면에서 ‘웨이브(wav)’ 파일 하나를 클릭하자, 그동안 기자와 이 회장이 주고받은 대화가 녹음돼 있었다. “도청에 무방비로 노출됐다”는 취재 내용은 물론, 취재에 앞서 나눈 가벼운 안부 인사며 날씨 얘기까지 그대로 들렸다. 물론 잡음이 섞여 있고 멀리서 말한 느낌이 들었지만 이어폰을 끼고 들으면 충분히 내용을 이해할 수 있을 정도였다.
이 회장이 기자에게 직접 만든 ‘도청 악성코드’를 문서 형태의 파일에 숨겨 e메일로 보낸 것이다. 그 파일에는 해커(이 회장)의 서버 컴퓨터로 도청된 음성을 파일로 저장해 보낼 수 있는 악성코드도 장착돼 있었다. 마이크를 일부러 켠 것도 아니고, 파일을 평범하게 확인하고 작동했을 뿐인데 음성이 그대로 녹음돼 다른 컴퓨터로 이동했다. 노트북 주변이 아닌 5m가량 떨어진 곳의 음성까지 녹음될 만큼 노트북 컴퓨터의 마이크 성능은 강력했다.
감염된 노트북 컴퓨터에 녹음된 내용은 해커가 지정한 서버 컴퓨터에 고스란히 저장된다. 이 회장이 만든 악성코드는 C드라이브의 특정 디렉토리에 저장되도록 설정됐다. 감염된 노트북 컴퓨터의 C드라이브 루트 폴더를 확인하니 ‘20101510493.wav’ 등 10개 파일이 보였다. 생성 시점은 2010년 1월5일 10시49분3초. 1분 단위로 쌓인 음성파일(형식 wav)의 흔적과 함께 10분 정도 녹음한 내용이 모두 담겨 있었다. 용량은 1MB(메가바이트)도 되지 않았다.
하지만 이는 기자에게 보여주기 위해 저장해둔 것일 뿐, 해킹된 컴퓨터에 저장된 도청파일은 해커 PC로 전송됨과 동시에 자동으로 지워지게 프로그래밍돼 있다. 따라서 컴퓨터 감염자가 아무리 오랜 시간 동안 대화를 해도 거의 무한정으로 음성을 도청해 해커 컴퓨터로 보낼 수 있다. 심지어 이 악성코드는 일정 시간이 지나면 악성코드 자체를 삭제할 수도 있다. 그만큼 해킹과 도청 사실이 드러나기 어렵게 프로그래밍을 할 수 있다는 얘기다.
간단한 작동원리 … 기존 백신 무용지물
도청 악성코드의 작동원리는 간단하다. 마이크가 장착된 컴퓨터라면 모두 공격의 대상이 된다. 꼭 노트북 컴퓨터가 아니더라도 마이크가 설치된 모든 PC는 도청에 이용될 수 있다. 마이크를 따로 달아야 하는 데스크톱 컴퓨터와 달리 최근 3, 4년 이내에 출시된 노트북 컴퓨터는 마이크가 기본적으로 장착돼 도청 악성코드에 노출될 가능성이 가장 크다.
이 마이크는 주기판의 제어칩과 연결돼 있는데, 악성코드는 이 제어칩에 도청 작업명령을 내린다. 사용자의 의지와 관계없이 노트북 컴퓨터의 마이크가 작동하면서 자동으로 녹음이 시작되는 것이다. 녹음된 음성은 ‘웨이브’ 파일 형태로 저장되고, 그 즉시 이 파일은 통신망을 타고 외부로 빠져나간다.
이때 악성코드에 해커 PC의 인터넷주소(IP)를 입력해놓으면 거기로 도청된 음성파일이 들어간다. 만일 해커가 자신의 컴퓨터가 아닌 제3자의 컴퓨터로 보내고 싶다면, 처음부터 악성코드에 제3자의 IP를 설정하면 된다.
다만 이 회장이 만든 악성코드는 마이크에 전원이 들어와야 하기 때문에 컴퓨터가 켜진 상태에서만 도청이 이뤄진다. 이 회장은 “꺼져 있는 PC를 원격제어를 통해 부팅시킨 뒤 도청을 하도록 하는 악성코드도 이론적으로는 만들 수 있다. 하지만 일부러 컴퓨터를 켜서 도청하는 악성코드를 만드는 것은 현재 기술로선 쉽지 않다”고 설명했다.
“중급 수준 해커도 쉽게 만들 수 있다”
문제는 이 회장이 개발한 악성코드는 2009년 말까지 나온 보안프로그램으로는 잡아낼 수 없다는 점. 아직 도청 해킹 사례가 신고되지 않았기 때문에 이에 대한 백신제품이 개발되지 않았다. 보안 전문가들은 “해킹 솔루션이 다른 실행파일과 달리 일반적인 소프트웨어 형태라 찾아내기 쉽지 않은 것만은 사실”이라고 설명했다. 1분당 전송되는 데이터 양이 1MB 미만으로 적기 때문에 네트워크 보안에 걸릴 확률이 그만큼 낮다는 설명이었다. 이 회장은 “우리 보안업체들의 기술 수준이 높기 때문에 도청 악성코드가 실제 발견된다면 이를 사전에 차단하거나 추적해 박멸할 수 있는 보안 솔루션 프로그램도 얼마의 시간이 걸리지 않아 만들어질 것”이라고 말했다.
이 회장이 보낸 도청 악성코드의 경우, 애초에 해킹 파일이 C드라이브에 저장되도록 설치해 시연했기 때문에 확인이 가능했을 뿐, 만일 해커들이 이상한 디렉토리로 저장되게 악성코드를 구성한다면 일반인은 결코 찾아낼 수 없다. 시연이 끝나자, 이 회장은 기자의 컴퓨터 제어판에 들어가서 프로세서 기능에서 악성코드를 찾아내 삭제했다. 이 역시 이 회장이 사전에 해당 해킹 파일의 명칭을 알고 있었기 때문에 가능한 일이다.
노트북 컴퓨터가 도청기기로 활용된다는 것은 정보기술(IT) 전문가 사이에서는 놀라운 일이 아니다. 보안 전문가들은 이미 여러 첩보영화에서 노트북 컴퓨터를 도청 도구로 활용한 유사한 기술을 소재로 사용한 점을 사례로 들며 “이런 일이 처음은 아닐 것”으로 추측한다. 도청 악성코드를 만들기가 어렵지 않아서 이미 국내외 정보기관, 산업스파이, 중국 해커 등이 활용했을 개연성을 배제할 수 없다. 그만큼 우리 군의 연구기관이나 정보기관 등은 충분한 수준의 정보기술(IT)이 있다. 이미 오래전부터 활용해오면서 ‘쉬쉬’해왔을 수 있다는 얘기다.
도청 악성코드를 시험 제작한 이 회장은 “도청 악성코드는 기술적인 문제보다 아이디어성 해킹 도구라 이미 제작돼 유포됐을 수 있다. 이 정도 악성코드라면 중급 수준의 실력을 가진 해커가 쉽게 만들 수 있을 것”이라고 말했다.
노트북 마이크 꺼도 소용 없어
더욱 우려스러운 점은 이렇듯 일반 노트북 컴퓨터에서 도청이 가능했다면 그와 유사한 운영체제(OS)를 쓰는 팜톱PC, PMP, 스마트폰 등에서도 악성코드를 활용할 수 있다는 사실이다. 마이크 장치가 내장돼 있고 통신망과 연결된 디지털 기기라면 어떠한 형태로든지 음성 또는 데이터 해킹이 가능하기 때문이다. 팜톱PC나 PMP는 노트북 컴퓨터와 유사한 구조와 환경을 쓰고 있어 현재의 솔루션을 일부만 수정하면 가능하다. 이 회장은 “이론적으로는 스마트폰도 감염시킬 수 있으며 이미 국내외 해커들이 도전하고 있을 것”이라고 내다봤다.
이 같은 사실이 알려진 뒤 공공기관 및 기업들은 노트북 컴퓨터를 이용한 도청에 대비하기 시작했다. 실제 기밀을 다루는 정부 기관에서는 회의실에 노트북 컴퓨터 등 전자기기 일체를 반입하지 못하게 한 것으로 전해졌다. 익명을 요구한 정부의 한 관계자는 “노트북 컴퓨터를 이용한 도청 등에 대비한 조치를 취했지만 외부에 알리면 해커 등의 주요 표적이 될 것으로 보고 조용하게 대처했다”고 말했다.
노트북 컴퓨터 도청을 막으려면 마이크 기능을 물리적으로 없애면 된다. 하지만 일반 사용자가 노트북에서 마이크를 제거하기는 쉽지 않다. 임시방편이긴 하나 사용자가 ‘제어판’→ ‘장치관리자’에서 마이크를 끄면 녹음이 안 돼 도청이 불가능하다. 그러나 이마저도 해킹으로 다시 마이크를 켤 수 있어서 완전한 방법은 아니다.
제조업체들은 소프트웨어적이 아니라 하드웨어적으로 노트북 컴퓨터의 마이크를 켜고 끌 수 있는 장치를 마련할 것으로 보인다. 지금까지는 노트북 컴퓨터를 부팅한 뒤 바탕화면에서 마이크를 끌 수 있었지만, 앞으로는 물리적으로 켜고 끄는 장치를 다는 식 등으로 말이다.
무엇보다 중요한 것은 사용자의 도청에 대한 경각심이다. 마이크에 대한 통제뿐 아니라 일상적인 컴퓨터 사용에서도 주의를 기울여야 한다. 지난해 7월 디도스(DDos·분산 서비스 거부) 공격 이후 한국인터넷진흥원에서 공개한 ‘해킹 및 바이러스 감염 자가진단법’에 따르면 △ 자기도 모르게 프로그램이 생성되거나 삭제된 경우 △ 알 수 없는 파일이 생긴 경우(특히 공유 폴더) △ 이유 없이 컴퓨터 프로그램 실행 속도가 느려지고 시스템이 멈춘 경우 △ 사용자 의사와 관계없이 프로그램이 실행되거나 주변 장치가 스스로 움직이는 증상이 나타난 경우 악성코드 감염을 의심해봐야 한다. 이 회장은 “출처를 알 수 없거나 의심스러운 e메일은 읽지 않고 삭제하는 것이 좋다. 파일공유 사이트 등에서 출처를 알 수 없는 파일은 함부로 내려받지 않는 게 바람직하다”고 당부했다.
“해킹 막아라” 지식 공유 … ‘정보 보안관’ 역할
515부대의 뿌리는 국내 최초 민간 해커부대 ‘31337부대’에 있다. 31337부대가 미지근한 활동 끝에 해체되자 이곳에서 활동하던 핵심 멤버들이 주축이 돼 515부대를 결성한 것. 해커의 모임이던 515부대는 2년 뒤인 2001년 ‘시큐어연구회’(www.sislab.or.kr)로 명칭을 바꿨다. 현재 인터넷으로 모이는 회원 수는 2400명 수준. 대부분이 보안업계 종사자거나 국가 기관 및 기업 등에서 보안을 담당하는 사람이다.
이 모임은 일종의 ‘보안지식 장터’다. 여기에 몸담고 있는 보안 담당자와 해커 모두 서로가 지닌 지식을 공유하고 자신이 설정해놓은 회사 및 기관의 보안 상황을 점검해주기 때문이다. 컴퓨터에 침입해 파일을 훔쳐가거나 서버를 마비시키는 ‘크래커’ 집단이 아니라 정보를 보호하기 위한 ‘정보 보안관’의 모임인 셈이다.
실제 시큐어연구회는 그동안 수차례 보안상의 문제점을 폭로했다. 올해 1월 노트북에 장착된 마이크가 도청장치로 사용될 수 있다는 사실 외에도 2009년 10월 휴대전화로 웹서버를 공격할 수 있다는 것을 발표했다. 또 2007년 12월에는 운영체제(OS)가 윈도 기반인 무인자동발급기, 즉 현금자동입출금기(ATM)나 주민등록등·초본 무인발급기의 해킹 사례를 공개했다. 당시 행정자치부는 무인민원 시스템 관련 보안 자문을 시큐어연구회에 맡겼다.
이들은 문제점을 지적만 하는 것이 아니라 해킹을 방지하는 대책도 내놓는다. 지난 1월에는 메신저 피싱으로 인한 금전적 피해를 사전 예방할 수 있는 사이버 수사기법을 개발해 사이버범죄수사대에 제안했다. 메신저 피싱은 피해자의 비밀번호 등을 해킹해 메신저에 접속한 후 피해자의 지인에게 금품을 요구하는 것을 말한다.
네이트온, MSN 등 메신저를 운영하는 기업이 메신저 창 옆에 실명인증 사고를 접수하는 별도의 등록 창을 만들어두면 사용자가 메신저 피싱이 의심되는 메신저를 받았을 때 이를 해당 창에 등록해 경찰청에 곧바로 알리는 식이다. 지난해 10월16일에는 연구회에서 개발한 개인용 해킹방지 솔루션을 무료로 배포하기도 했다.
이 밖에도 정기적으로 보안 세미나를 열어 보안에 관심 있는 사람을 대상으로 강의하거나 최신 해킹 기술과 관련된 토론을 벌인다.
변태섭 동아사이언스 기자 xrockism@donga.com
눈앞에서 문자 가로채 결제 스마트폰이 이럴 수가!
정보 훔쳐보고 이용하고, 무차별 해킹에 노출 … 한국 MS 반박 불구 취약성 여전
손영일 기자 scud2007@donga.com
골프 황제에서 섹스 중독자로 추락한 타이거 우즈. 베일에 싸인 그의 사생활은 휴대전화에 저장된, 다른 여성이 보낸 문자 메시지가 발단이 돼 대중에게 낱낱이 드러났다. 그의 아내는 우연히 타이거 우즈의 휴대전화를 보고 외도 사실을 알게 됐지만, 만일 그가 문자 메시지를 저장하지 않고 받은 즉시 지웠다면 진실은 영원히 묻혔을지도 모른다.
배우자, 이성친구 휴대전화 속 문자함은 판도라의 상자다. 그 속에 무슨 내용이 담겨 있을지 작은 의구심이 고개를 쳐드는 순간, 훔쳐보고픈 욕망에 휩싸인다. 그리고 타인의 사생활을 훔쳐보고 싶은 비뚤어진 욕망은 한 발짝 더 나아간다. 이 문자들을 상대방은 보지 못하고 오로지 나만 볼 수 있게 중간에서 가로챌 수 있으면. 커져버린 욕망은 조금씩 범죄의 수렁으로 사람을 이끈다.
“공짜로 포르노를 다운받을 수 있는 사이트를 알려드릴게요. 이 스마트폰으로 한번 들어가보세요.”
2월23일 스마트폰 해킹 시나리오를 보기 위해 숭실대 컴퓨터학부 이정현 교수를 찾았다. 이 교수가 건넨 스마트폰은 11월15일자 스포츠신라 웹사이트에 접속돼 있었다. 화면을 내리자 ‘8C 동영상’ ‘네티즌 포토’ 사이에서 이 교수가 말한 ‘19 HOT 포토’가 보였다. 반라의 여인이 섹시한 포즈를 취하며 어서 클릭해서 들어오기를 유혹했다.
‘그래, 공짜라고 하는데 들어가 구경이라도 해볼까.’
클릭을 하는 순간 “이 정보 내용은 청소년 유해매체물로 만 19세 미만의 청소년이 이용할 수 없다”는 경고문이 떴다. 성인 인증을 받기 위해 주민등록번호와 이름을 기입한 뒤, 승인버튼을 클릭. 이제 동영상을 보려나 싶은 찰나 이 교수가 휴대전화를 가져갔다.
다양한 루트 통해 해킹 프로그램 유입
“지금까지 특별히 이상한 점을 느낀 게 있나요? 아마 어떤 수상함도 감지하지 못했을 겁니다. ‘19 HOT 포토’를 클릭하는 순간 ‘트로이 목마 바이러스’가 다운로드돼, 손 기자가 들고 있는 스마트폰에 설치됐습니다.”
성인 인증을 위해 입력했던 기자의 이름과 주민등록번호는 트로이 목마 바이러스가 모바일 단말기에 저장한 상태. 이 교수는 주머니에 넣어뒀던 또 다른 스마트폰을 꺼냈다.
“이 스마트폰을 보세요. 조금 전 입력했던 이름과 주민등록번호, 그리고 손 기자가 들고 있던 스마트폰 번호까지 다 나와 있죠? 해커의 스마트폰이 손 기자가 들고 있는 스마트폰의 트로이 목마 바이러스와 wi-fi로 통신해 빼내간 것입니다. 사이트 배너를 통해 해킹 프로그램이 설치됐지만, 블루투스·문자 메시지·멀티미디어 메시지·e메일 등 다양한 루트를 통해 해킹 프로그램이 깔립니다.”
단지 이름, 주민등록번호, 스마트폰 번호를 알았다고 해서 당장 결제가 가능한 것은 아니다. 마음만 먹으면 이 정도 정보는 인터넷상에서 간단한 검색으로 손쉽게 얻을 수 있다. 휴대전화로 전달되는 승인문자를 어떻게 중간에 가로채느냐가 관건이다.
“휴대전화 소액결제는 월 15만원 정도로 한도가 정해져 있습니다. 휴대전화 결제를 하려면 승인번호를 전송받아 다시 입력해야 합니다. 지금부터 보일 것은 승인번호를 전송하는 문자를 해커가 가로채는 장면입니다.”
이 교수의 제자인 숭실대 컴퓨터학부 이형찬(27), 정진혁(26) 참여연구원이 시연을 도왔다. 이들이 바로 승인번호 가로채기, 문자 공유, 스마트폰 시스템 다운 기능 등을 갖춘 트로이 목마 바이러스를 만든 주인공이다.
정진혁 연구원이 해커 역을 맡았다. 정 연구원은 훔쳐낸 이름과 주민등록번호를 이용해 휴대전화 소액결제가 가능한 싸이월드에 가입했다. 훔쳐낸 개인정보를 이용하지만, 아이디와 비밀번호는 정 연구원이 임의로 설정했다. 가입 안내 위쪽에는 “타인의 주민등록번호를 부정 사용하는 자는 3년 이하의 징역 또는 1천만원 이하의 벌금이 부과될 수 있다”고 적혀 있지만 아랑곳하지 않았다.
문자 훔쳐보고, 단말기 시스템 다운 공격
“싸이월드 도토리 500개(5만원 상당)를 손 기자가 들고 있는 스마트폰으로 결제해보겠습니다.”
정 연구원은 자신이 든 스마트폰 메뉴에서 ‘SMS Intercept’, 즉 문자가로채기 기능을 눌렀다. 도토리 500개(5만원)에 체크를 해놓은 다음, 미리 빼낸 기자의 이름과 주민등록번호, 피해자 스마트폰 번호를 입력했다. 이어 승인번호 전송도 눌렀다.
곧바로 정 연구원의 스마트폰으로 ‘인증번호는 323345입니다’라는 문자 메시지가 전송됐다. 기자가 들고 있는 스마트폰에는 문자 메시지가 왔다는 어떤 표시도 없었다. 해커 스마트폰에 전송된 승인번호를 입력하면 상품구매는 완료된다. 정작 본인은 알 수 없는 상황에서 모든 상황이 종료됐다. 다음 달 휴대전화 사용 명세서가 오기 전까지는 얼마나 결제됐는지 확인 불가.
“사실 손 기자가 들고 있는 스마트폰으로 문자가 발송됐습니다. 다만 트로이 목마 바이러스가 문자를 눈에 보이지 않게 숨겨놓은 다음, 해커의 스마트폰으로 전송한 것입니다. 이런 종류의 해킹 프로그램은 대학생도 어렵지 않게 만들어낼 수 있습니다.”
“공주님, 내일 미실을 제거할 준비가 끝났습니다.”
김유신은 결전의 날에 앞서 내밀한 준비사항을 덕만에게 문자로 보낸다. 모든 것이 순조롭다고 생각한 유신. 애석하게도 그는 이 문자를 미실도 볼 수 있다는 사실을 알아채지 못한다. 그러나 미실은 유신의 움직임을 사전에 포착해 그의 휴대전화에 문자 메시지를 공유할 수 있는 트로이 목마 바이러스를 심어놓았다. 유신의 거사 계획은 사전에 탄로나 미실이 먼저 유신을 공격한다. 덕만을 왕으로 만들려는 유신의 계획은 실패하고 만다.
인기리에 종영된 드라마 ‘선덕여왕’의 경우를 코믹하게 재구성해봤다. 언론을 통해 e메일 해킹의 위험은 여러 번 알려졌지만, 여전히 휴대전화 문자 메시지만은 ‘사용제한’을 걸어놓으면 안전하다고 생각한다. 미실의 사례는 공상과학 영화에서만 벌어지는 일이 아니다. 해커를 담당한 정 연구원은 사용자의 문자 메시지 공유기능을 실제로 보여줬다.
그는 우선 해커 스마트폰에서 ‘SMS Sniffing(문자 메시지 공유기능)’을 선택했다. 이형찬 연구원이 기자가 들고 있는 스마트폰으로 ‘안녕하세요’라는 문자를 보내자, 기자의 스마트폰과 정 연구원의 스마트폰으로 문자 메시지 내용이 동시에 전송됐다.
심지어 해외 웹사이트에선 타인의 문자 메시지를 볼 수 있는 기능을 상용화해 활발히 거래 중이다. ‘http://flexispy.com’ 사이트에 들어가자, 벌거벗은 남자와 속옷 차림의 여자가 사랑스러운 눈으로 서로를 쳐다보는 광고가 보인다. ‘This Could Be You!’ ‘I Knew It’이라는 광고문구가 ‘문자 메시지를 공유하는’ 소프트웨어를 파는 사이트임을 한눈에 드러낸다.
“해외에서도 배우자 혹은 이성친구가 바람피울까봐 걱정하는 사람이 문자 메시지 공유기능을 많이 의뢰합니다. 문자 메시지 공유기능을 설정해놓으면 상대방의 휴대전화를 직접 들여다보지 않더라도 자신의 휴대전화에서 실시간으로 확인할 수 있습니다. 상대방이 문자 메시지를 받고 삭제할지라도 자신에게 온 문자는 고스란히 남습니다.”
작동원리는 ‘http://mobile-spy.com’에 자세히 설명돼 있다. 예컨대 남편이 이 소프트웨어를 구입해 아내의 휴대전화에 몰래 다운받아 설치하면, 아내에게 오는 문자 메시지는 해당 소프트웨어 업체 서버에 저장된다. 남편은 서버에 로그인해 들어가 어떤 문자가 아내에게 왔는지 확인한다. 물론 아내는 자신의 문자가 열람된다는 사실을 알지 못한다.
모바일 보안 인식 2% 부족한 정책 당국
“농담으로 여자친구나 제자가 스마트폰을 선물하면 받지 말라고 얘기합니다. 이런 프로그램을 깔고 선물할 수도 있으니 말이죠.(웃음)”
한국에서는 아직 법적으로 허용되지 않았지만, 해커들이 마음만 먹으면 손쉽게 이런 기능이 들어간 해킹 프로그램을 만들어낼 수 있다. 이미 상용화한 만큼 기술 노하우를 습득하기는 다른 경우보다 훨씬 쉬운 편이다. 이 밖에 ‘Contact Stealing’ 메뉴를 선택하면, 트로이 목마 바이러스와 wi-fi를 통해 피해자 스마트폰에서 주소록 정보를 가져온다.
“흔히 ‘벽 돌아간다’는 표현을 하죠. 해커가 ‘Make a Brick’ 메뉴를 선택하면 해커 스마트폰은 wi-fi를 통해 트로이 목마 바이러스에 피해자 스마트폰을 리부트하도록 명령을 전달합니다. 물론 프로그램을 어떻게 설정하느냐에 따라 전원이 아예 꺼지게 할 수도 있습니다.”
이것을 응용해 ‘특정 어구가 포함됐을 때’만 반응하도록 설정하는 것도 가능하다. 문자 메시지 내용 중 ‘소녀시대’라는 특정 문자가 삽입되면 시스템이 다운되는 식이다.
“손 기자 휴대전화로 ‘방금 소녀시대 신곡을 들었는데 이번 앨범도 대박 날 듯~’이라는 문자 메시지를 트로이 목마 바이러스에 감염된 스마트폰으로 보내보세요.”
전송이 완료되는 순간, 기자가 들고 있던 스마트폰이 꺼지면서 거짓말처럼 리부트됐다.
이 교수가 시연을 통해 선보인 해커용 스마트폰과 피해자용 스마트폰은 모두 윈도 모바일 6.1 운영체제를 갖추고 있다. 이 교수가 윈도 모바일 6.1 운영체제를 탑재한 스마트폰이 해킹에 취약하다며 스마트폰 해킹 시나리오 5가지를 공개하자 파문은 일파만파로 커졌다.
한국 마이크로소프트(MS)는 즉각 이 교수 보안연구팀에서 시연한 해킹이 가능하려면 △ 스마트폰에 특정 프로그램(닷넷 프레임워크3.5)이 설치돼 있어야 하며 △ 스마트폰 사용자가 자신의 번호를 스마트폰에 입력해놓은 상태에서만 가로채기 수법이 가능하고 △ 해킹 프로그램이 설치되도록 포트(모뎀과 컴퓨터 사이에 데이터를 주고받을 수 있는 통로)를 인위적으로 열어둔 상태에서만 가능하다고 주장했다.
이 교수는 “해킹 과정을 쉽게 보여주기 위해 다른 기능을 뺀 채 닷넷 프레임워크3.5를 사용했지만, 이 프로그램을 사용하지 않더라도 해킹하는 데는 아무런 문제가 없다. 비록 자신의 스마트폰 번호를 주소록에 저장하지 않더라도 해킹 프로그램에 몇 가지 모듈을 설치해두면 스마트폰 내부에 존재하는 스마트폰 번호를 알 수 있다. 해킹 프로그램과 포트는 상관이 없다”고 반박했다.
이중삼중 보안 프로세스 구축해야
PC와 마찬가지로 휴대전화 운영체제를 지닌 스마트폰은 기존 PC가 가진 해킹 위험을 그대로 지닌다. 스마트폰에 침투한 해킹 프로그램만 해도 스파이웨어, 바이러스 웜, 트로이 목마를 비롯해 수백 종에 이른다. 지금까지 발견된 모바일 해킹 프로그램만 600여 종이다.
반면 국내 전자금융 정책을 담당하는 정책 당국의 보안에 대한 인식은 2% 부족하다. 액티브 엑스(Active X)가 그 대표적 사례. 액티브 엑스는 PC에 응용 프로그램을 설치해 웹 기반의 콘텐츠를 PC상에서 이용할 수 있게 하는 인터넷 기술로, 인터넷에서 이뤄지는 전자상거래 결제는 액티브 엑스를 통한 공인인증서로만 할 수 있다. 2009년 7월 분산서비스거부(DDoS)를 통해 액티브 엑스의 취약성은 일반인에게도 널리 알려졌다. 숙주 사이트가 좀비 PC를 만드는 과정에서 해킹 프로그램을 심는 데 액티브 기술이 악용됐던 것.
이미 PC상에서 문제가 있는 것으로 검증됐음에도 금융감독원, 방송통신위원회 등 금융보안 관련 정부기관은 액티브 엑스 설치 여부를 두고 여전히 고심 중이다. 보안전문가들은 “윈도 모바일 운영체제를 제외하고 다른 브라우저에서는 액티브 엑스를 설치할 수 없다. PC 운영체제 보안 논리에서 벗어나지 못했음을 여실히 드러내는 사례”라고 지적했다.
근본적으로 스마트폰 보안 문제를 해결하기 위해 이 교수는 “액티브 엑스, 키보드 해킹 방지 프로그램, 백신을 모두 스마트폰에 넣으려고 하는 지금의 관점에 대전환이 필요하다”고 말했다.
“심하게 말하면 지금껏 나온 (모든) 백신은 해킹에 ‘사후약방문’입니다. 현재 출시한 모바일 백신은 해킹 프로그램 변종이 생기면 이를 보고해 리스트를 업데이트한 다음 동일한 해킹 프로그램이 침입할 때 방지하는 식입니다. 만일 리스트에 없는 해킹 프로그램이 침입하면 전혀 대응을 할 수 없는 것이죠.”
이 교수는 특정 소프트웨어가 운영체제에서 실행되는 과정에서 ‘설치-시행-샌드박스’를 통해 이중삼중으로 해킹 프로그램을 걸러주는 보안 프로세스를 구축해야 한다고 강조했다.
“확인되지 않은 코드를 지닌 소프트웨어가 설치되려고 하면 자동적으로 설치되는 것이 아니라 정식 인증을 받게 합니다. 심비안처럼 설치를 하더라도 자동 실행되는 것이 아니라 확인되지 않거나 정식 서명을 받지 않은 소프트웨어는 실행이 안 되게 다시 한 번 걸러주는 운영체제로 바꿔야 합니다.”(상자기사 참조)
샌드박스(Sand Box)는 미확인 코드 소프트웨어가 실행되더라도 보호된 영역 안에서만 프로그램이 작동하게 하는 보안 소프트웨어로, 프로그램의 폭주나 악성 바이러스의 침투를 막는다.
PC 운영체제는 MS의 윈도 모바일이 석권했지만, 스마트폰 운영체제는 춘추전국시대다. 심비안의 노키아, 아이폰의 애플, 안드로이드의 구글 등 스마트폰마다 모두 다르다. 누가 스마트폰 운영체제 표준을 제시하며 승자로 도약할지는 모르지만, 한 가지 분명한 것은 보안성을 갖춘 운영체제가 승리에 한발 다가가리라는 점이다.
윈도 모바일 6.1 해킹에 취약
애플 아이폰은 앱스토어를 통해서만 애플리케이션을 다운받을 수 있다. 누구든 개발한 애플리케이션을 앱스토어에 등록하려면 해당 애플리케이션의 코드를 리뷰하고 정해진 일정 수준의 규칙을 따라야 한다. 애플이 허락하지 않으면 사용자가 원한다고 해도 특정 애플리케이션을 쓸 수 없다. 해킹 프로그램이 들어 있는 애플리케이션을 올리더라도 애플이 설치를 허락하지 않는다. 설치가 되지 않기 때문에 실행 또한 당연히 되지 않는다. 폐쇄적이긴 하지만 보안성만큼은 강하다.
상대적으로 윈도 모바일을 제공하는 MS나 안드로이드를 제공하는 구글은 플랫폼이 개방돼 있다. 소스가 공개되지 않은 윈도 모바일에 비해, 소스가 공개된 안드로이드가 더 개방적인 플랫폼이다. 사용자가 원하는 애플리케이션 등 다양한 프로그램을 사용하고 연결할 수 있도록 열어놨다. 따라서 해킹 프로그램이 들어 있는 애플리케이션을 만들어 올려놓고 다운받아 설치하는 것까지는 큰 문제가 없다.
노키아의 운영체제인 심비안이 확인되지 않거나 서명되지 않은 소프트웨어 프로그램의 ‘실행’을 막는 것과는 달리, 윈도 모바일과 안드로이드는 자동 실행이 된다. 다만 안드로이드는 샌드박스 내에서만 실행이 돼 샌드박스가 적용되지 않는 윈도 모바일보다 보안성이 우수하다. 단순히 플랫폼의 개방성만으로 보안성 정도를 판단할 수 없는 것.
심비안이 처음부터 보안성이 뛰어났던 건 아니다. 600여 개로 추정되는 스마트폰의 해킹 프로그램 중 90% 이상이 심비안에서 발견됐다. 과거 심비안 6.0, 7.0 버전을 썼던 것에서 나온 것. 당시 심비안 운영체제도 지금의 윈도 모바일처럼 설치-시행에 아무런 제한이 없었으며 샌드박스도 적용되지 않았다. 하지만 심비안 9.0 버전부터 새롭게 운영체제를 깔면서 2007년 이후 해킹 프로그램은 거의 발견되지 않았다.
컴퓨터 도용에서 ‘디도스’까지 해킹 60년…진화와 반역의 역사
구미화 동아일보 신동아 객원기자 mhkoo@donga.com
오늘날 ‘해킹’이라 하면 통신망을 이용해 남의 컴퓨터에 침입, 정보를 훔치거나 컴퓨터를 망가뜨리는 나쁜 행위라 정의하지만, 그 유래는 젊은이의 순수한 열정이었다. 1950년대 말 미국 MIT의 모형 기차 제작 동아리에서 활동하던 학생들이 학교 소유의 컴퓨터를 몰래 이용했던 게 시작. 말이 컴퓨터지 거대한 계산기 수준이었지만 학생들에겐 새로운 세상이 열린 것이나 다름없었다. 이들은 ‘컴퓨터 작업에서 느끼는 즐거움’을 ‘해크(hack)’란 은어로 표현했다. 원래는 ‘전기 기차와 트랙, 스위치 등을 빠르게 조작하다’라는 뜻으로 사용하던 단어다. 이어 ‘컴퓨터를 사랑하고, 컴퓨터 프로그램을 잘 만드는 사람’을 ‘해커’라고 칭했다.
MIT에서 탄생한 이들 최초의 해커는 전산실에 가둬진 컴퓨터를 밖으로 끌어내고 싶어 했다. 컴퓨터와 프로그램, 그리고 거기에 담긴 정보를 모든 사람이 공유해야 한다는 신념이 생겼고, 그것을 실천하고자 노력했다. 저작권에 묶인 소프트웨어의 사용과 배포를 모든 사람에게 허용해야 한다고 주장하는 자유소프트웨어 진영의 대가 리처드 스톨먼은 1세대 해커의 마지막 생존자로 불린다. 1970년에 하버드대학에 입학했으나 이듬해 MIT로 옮겨 해커 문화를 접한 그는, 70년대 말 각종 시스템에 암호가 장착돼 일반인의 접근을 통제하기 시작하자 암호 없애기 운동을 벌였다. 이어 완전공개 운영체제(OS)를 개발하는 GNU 프로젝트를 시작했다. 지금까지도 누구나 사용할 수 있는 자유소프트웨어 개발을 지원하고 있다.
美 군사정보 빼내 마약과 바꿔치기
MIT를 근거로 한 초기 해커들의 ‘컴퓨터 및 정보 공유’ 신념이 결과적으로 컴퓨터 대중화를 앞당겼는지 모른다. 스티브 잡스와 함께 최초의 애플 컴퓨터를 개발한 스티브 워즈니악과 마이크로소프트사(MS)의 빌 게이츠도 젊은 시절 해커였으니 말이다.
‘괴짜’로 불리는 워즈니악은 1970년대에 유행한 전화 조작(phone phreaking)에도 일가견이 있었다. 프리킹(phreaking)은 장거리 전화를 공짜로 쓰거나 전화요금을 다른 사람에게 전가하는 행위다. 개인용 컴퓨터(PC)가 보급되기 전에 행해진, 나쁜 해킹의 원시적 형태라고 볼 수 있다. 1971년 베트남전 참전 중이던 공군 기술자 존 드레이퍼는 시리얼에 딸린 장난감 호루라기를 불면 전화회사가 장거리 통신 때 사용하는 주파수와 동일한 주파수의 소리가 나오는 걸 발견하고, 그 원리를 이용해 장거리 무료 통화를 시도한 게 시초로 알려졌다. 드레이퍼는 이후 전화기를 개조한 혐의로 여러 번 체포됐지만 ‘블루박스의 비밀’로 불리는 그의 수법이 잡지에 공개되는 바람에 미국 내 전화망 침입이 급증하기도 했다. 당시 대학생이던 워즈니악은 드레이퍼의 수법을 응용해 바티칸의 로마교황청에 장난 전화를 걸고, 직접 블루박스를 만들어 파는 대담함을 보였다.
컴퓨터가 흔치 않던 시절 컴퓨터 작업 자체의 즐거움을 의미했던 해킹은 1980년대 PC가 대중화하면서 점차 부정적인 의미로 변질됐다. 몰래 다른 사람의 컴퓨터에 침입해 정보를 빼내 이익을 취하거나 컴퓨터를 망가뜨리는 일이 잦아지면서부터다. 컴퓨터 전문가들은 이런 파괴 행위를 일삼는 사람들을 ‘크래커(cracker)’라고 불러 긍정적인 의미의 해커와 구분하기도 한다. 하지만 해커가 긍정, 부정의 의미를 동시에 담아 사용되는 게 일반적이다.
1980년대 대표적인 해킹 사례로 ‘뻐꾸기 알(The Cuckoo’s Egg)’ 사건과 ‘모리스 웜(Morris Worm)’이 있다.
1986년 8월, 천문학자 클리포드 스톨은 자신이 일하는 캘리포니아 로렌스 버클리 연구소 사이트에서 침입 흔적을 발견했다. 이후 10개월간 추적한 결과 마르쿠스 헤스 등 구 서독의 젊은 해커들이 미국의 주요 군사시설과 대학, 연구소 등에 침입해 군사기밀을 빼내고 있음을 확인했다. 미 수사기관에 붙잡힌 해커들은 해킹한 정보를 구 소련의 KGB(국가보안위원회)에 넘기는 대가로 돈과 마약을 받아온 것으로 드러났다.
‘뻐꾸기 알’은 스톨이 이 사건을 바탕으로 쓴 논픽션의 제목이다. 이 책에서 저자는 고도의 보안이 필요한 미국의 주요 기관들이 비교적 쉽게 뚫린 건 시스템 관리자들이 웬만해선 암호를 변경하지 않기 때문이라고 지적했다. 심지어 ‘guest’ 자격으로 별도의 암호를 입력하지 않고도 로그인할 수 있는 군사시설도 있었다고 폭로했다.
1988년엔 미국 전역의 컴퓨터 6000여 대가 정체 모를 바이러스에 감염돼 정부와 대학의 시스템이 마비되는 일이 벌어졌다. 당시 코넬대 대학원생이던 스물두 살 로버트 모리스의 소행이었다. 1986년 제정된 미국의 ‘컴퓨터 사기와 남용에 관한 법률’로 기소된 첫 사건이다. 남에게 피해를 줄 목적이 아닌, 단순히 인터넷의 규모를 확인하고 싶은 호기심에서 일을 벌였던 모리스는 인터넷 웜을 최초로 퍼뜨린 인물로 해킹 역사에 남았다. 모리스는 현재 MIT 부교수로 재직 중이다.
“사람 마음 해킹이 가장 쉽다”
1980년대 말 미국 라디오방송국의 전화선을 해킹해 악명을 떨친 케빈 폴슨도 빼놓을 수 없다. 당시 102번째로 전화를 거는 청취자에게 포르셰 자동차를 상품으로 주는 행사가 열렸는데, 폴슨이 방송국의 전화선을 장악하고 있다가 102번째로 걸려오는 다른 전화를 차단하고 자신이 통화에 성공해 경품을 타냈다. 이후 폴슨이 연방수사 기록을 해킹하자 미 수사당국이 본격적으로 추적에 들어갔다. TV의 미제 사건 공개 추적 프로그램에서도 폴슨을 다뤘는데, 당시 시청자들로부터 제보를 받는 모든 전화가 불통됐다고 한다. 1991년에 붙잡힌 폴슨은 5년간 감옥에서 지내고 나와 저널리스트로 변신했다.
‘미국 역사상 최고의 컴퓨터 범죄자’로 불리는 케빈 미트닉이 움직이기 시작한 것도 1980년대다. 이미 미성년자 시절부터 대학 전산망에 침입했던 그는 보호관찰 기간 중이던 90년대 초 노키아, 후지쓰, 모토로라 등 주요 통신회사의 컴퓨터 시스템을 해킹했다. 특히 NetCom사가 보관하고 있던 갑부들의 신용카드 번호를 감쪽같이 빼내 다른 시스템으로 옮겨놓아 미 수사당국을 바짝 긴장시켰다. FBI조차 손을 쓰지 못할 정도로 신출귀몰하던 그의 꼬리가 잡힌 건 일본인 보안전문가 시모무라 스토무의 기지 덕분이었다. 샌디에이고 슈퍼컴퓨터센터에서 일하던 시모무라 역시 미트닉에게서 파일을 도난당한 적이 있었다.
1995년에 붙잡힌 미트닉은 14건의 컴퓨터 사기를 포함해 총 145년형에 처해질 만큼 많은 범죄를 저질렀지만 플리바겐(plea-bargain·유죄를 인정하는 대신 협상을 통해 형량을 경감하거나 조정하는 제도)을 통해 5년간 복역했다. 출소 후 ‘속임수의 예술(The Art of Deception)’ ‘침입의 기술(The Art of Intrusion)’ 두 권의 책을 썼다. 지금은 미트닉 시큐리티 컨설팅이란 보안컨설팅 회사를 운영 중인데, 최근 이 회사가 두 차례나 해킹을 당하는 수모를 겪었다. 미트닉이 시모무라와 FBI의 추적 끝에 체포되는 과정은 ‘테이크다운’이란 영화로도 만들어졌다.
해킹의 역사에서 미트닉에 주목해야 할 이유는 또 있다. 미트닉은 자신이 과거에 저지른 일들이 해킹이 아니라 ‘사회공학(social engineering)’이었다고 주장한다는 점이다. 미트닉은 컴퓨터 기술을 이용하기보다 전화통화로 상대방이 자신을 믿도록 만들어 아이디와 패스워드 등 중요한 개인정보를 빼내기가 훨씬 수월했다고 말한다. 실제로 그가 저지른 해킹의 상당수가 전화통화로 시작됐으며, 전화 몇 통화로 모토로라의 최신 휴대전화 핵심 소스코드를 알아내기도 했다. 이렇듯 시스템이 아닌 사람의 취약점을 공략해 원하는 정보를 빼내는 공격 기법을 ‘사회공학적 해킹’이라고 부른다. 보안기술이 발달하면서 시스템의 보안성이 강화되는 반면, 사람의 마음은 여전히 쉽게 속아 넘어가는 것이다.
e메일, 인터넷 메신저, 모바일 기기의 사용이 일상화하면서 사회공학적 해킹 기법이 무한대로 확대되는 실정이다. 2000년 5월 5000만대 이상의 PC를 감염시키고, 미 국방부와 CIA, 영국 의회의 메일 서버까지 다운되게 만든 ‘I Love You’ 바이러스는 사회공학적 해킹의 대표적인 사례다. 지난해엔 ‘마이클 잭슨 사망 동영상’을 위장한 악성코드가 유포된 적도 있다.
한동안 메신저로 친구를 가장해 현금을 가로채는 일이 빈발하더니 최근엔 취업난이 가중되는 현실을 악용해 취업 준비생을 두 번 울리는 해커들까지 등장했다. 한국인터넷진흥원에 따르면 지난 2월8일 ‘Thank you from Google!’이라는 제목으로 구글에 입사 지원을 해줘서 고맙다는 메시지와 함께 첨부된 서류를 점검하라는 내용의 메일이 발송됐다. 알고 보니 첨부파일을 실행시키면 악성코드에 감염되도록 만든, 구글과는 전혀 관련 없는 악성 메일이었다. 한국인터넷진흥원 김희정 원장은 “인터넷 이용자들에게 의심스러운 메일은 읽어보지 말도록 권고하고 있지만, 사회공학적 기법을 활용한 악성코드 메일은 읽어보지 않을 수 없게 만드는 경우가 많아 예방에 어려움이 있다”고 말한다.
인터넷에 유명인에 관한 정보가 범람하고 소셜네트워킹 사이트가 붐을 일으키자 이를 통해 수집한 개인 정보를 활용해 특정 인물에 맞춤 공격을 하는 웨일링(Whaling)도 증가하고 있다. 지난 미국 대선에서 공화당의 부통령 후보로 지명됐던 세라 페일린의 e메일이 최근 해킹을 당했는데, 평범한 대학생이 저지른 웨일링이었다.
대부분의 e메일 서비스는 이용자가 비밀번호를 잊어버릴 경우에 대비해 ‘비밀번호 힌트’ 항목을 만들어둔다. 전문적인 해킹 기술이 없었던 이 대학생은 위키피디아와 구글 등을 통해 수집한 페일린의 정보를 바탕으로 비밀번호 힌트의 답을 유추했고, 끝내 그의 e메일을 해킹하는 데 성공했다. 전문가들은 웨일링 공격이 성공하면 기업이나 단체에 대한 핵심 정보가 대량으로 유출될 수 있다고 지적한다.
누구나 마음먹으면 해킹 가능한 시대
21세기 들어 해킹의 수법은 더욱 악랄해진 반면 20세기처럼 희대의 해커들을 나열하긴 어렵다. 누구나 마음만 먹으면 해킹할 수 있는 시대이기 때문이다. 다양한 해킹 정보와 해킹 도구가 웹에 공개되고 있다. ‘Cult of the Dead Cow’란 해커그룹은 10여 년 전, 일반인도 쉽게 해킹할 수 있는 프로그램 ‘백오리피스(Back Orifice)’를 내놓았다. 이후 서울의 한 대학에 다니던 학생이 백오리피스로 해킹한 우리별 3호에 관한 정보를 자유게시판에 올려 충격을 주기도 했다.
누구나 할 수 있다고 해서 해킹의 위험도가 낮아진 것은 아니다. 지난해 청와대와 국방부, 미 백악관 홈페이지 등을 동시다발적으로 교란한 디도스(DDos·분산서비스거부) 대란만 봐도 심각성을 알 수 있다. 특정 컴퓨터에 침투해 자료를 삭제하거나 훔쳐가는 수준이 아니라 동시다발적 공격으로 목표 서버를 마비시키는 것. ‘총성 없는 전쟁’이 따로 없다. 공격을 받은 시스템이 치명타를 입는 것은 물론, 수많은 컴퓨터 시스템이 사용자도 모르는 사이 해킹의 숙주로 이용될 수 있다는 데 문제의 심각성이 있다. 그래서 일부에서는 이 같은 사이버 공격을 ‘뉴테러리즘’으로 규정한다.
사건 발생 건수로만 보면 금전적인 이득을 취하기 위한 해킹이 절대적이지만, 정치적 목적을 지닌 공공기관 사이트 해킹으로 인한 피해가 더 클 수 있다. 개인정보보호법 등 정보보호 관련 법규가 재정비되고 보안컨설팅 시장도 성장하고 있지만 정부기관 및 일반인의 보안 인식은 과거와 별반 다르지 않다는 게 전문가들의 지적이다.
학력제한·조직 순응 강요 가장 큰 걸림돌 …이벤트성 대회도 ‘이제 그만’
장윤정 전자신문 보안팀 기자 linda@etnews.co.kr
과거 해커들은 기술을 과시하기 위해 해킹을 했다. 세계 유명 웹사이트를 마비시키고 익살맞은 문구를 삽입하며 자신의 존재를 알렸다. 이제 해커들을 움직이는 가장 큰 원동력은 돈이다. 중국, 러시아 등 세계 곳곳의 글로벌 해커들은 돈을 벌기 위해 국내 사이트를 노린다. 쇼핑몰, 게임사, 대출 사이트 등 여러 방면으로 공격이 이뤄지고 있으며 이렇게 해킹된 사이트들은 고객 DB판매, 분산서비스거부(DDoS) 공격 등에 활용된다. 이런 상황에서 이른바 ‘해커 10만 양병설’을 실현해야 한다는 목소리가 높다.
임진왜란을 예견하고 일본의 침입을 막고자 율곡 이이가 주장했던 ‘10만 양병설’에 빗댄 ‘해커 10만 양병설’은 과거 이상희 전 과학기술처 장관의 발언에서 비롯됐다. 이 전 장관은 1996년 부산 남구에서 신한국당 후보로 출마하면서 국방 정보화와 교육 정보화를 공약으로 내걸었는데, 국방 정보화 공약의 핵심이 해커 10만 양병설이었다.
연이은 해킹 사고로 해커 끌어안기 한창
앞으로 전쟁은 사이버 전쟁이 될 것이고, 사이버전에서 효율적으로 공격하거나 방어하려면 하드웨어 중심의 군 시스템을 바꿔야 한다는 것. 전자군복무제를 도입, 온라인을 통해 운영되는 해커부대를 창설하자는 것이 그의 주장이었다. 해커 10만 양병설을 내세웠던 이 전 장관의 말은 율곡 이이의 주장이 그랬던 것처럼 10여 년이 지난 아직까지도 실현되지 못한 꿈으로 남았다. 1990년대 중반만 해도 해커 10만 양병설은 사이버 위험에 대한 인식이 과장됐다는 평가를 받았다. 해커의 특성상 잘 쓰이면 본전이고, 자칫하면 해커로 인한 사고위험만 커지기 때문에 정부 차원의 해커 양성이란 요원한 이야기였다.
2009년 7.7 DDoS 대란 같은 사고를 비롯해 중국, 북한 등 대내외적인 해커의 위협이 가시화되면서 해커 10만 양병설에 점차 무게가 실리고 있다(상자기사 참조). 한국인터넷진흥원(KISA)은 ‘KISA 아카데미’에서 해커 전문가 과정을 개설해 3월 오픈할 예정이다. KISA는 대학정보보호 동아리를 대상으로 ‘정보보호 컨퍼런스’도 매년 개최하고 있으며, 정보보호 전문가를 양성하기 위해 기자재, 비용 등을 지원한다. 2009년 31개 대학교의 35개 동아리가 지원을 받았으며 올해는 40여 개 동아리를 지정, 지원할 계획이다.
지식경제부에서는 해커들을 직접 만나 의견을 취합하는 등 해커를 지원하기 위한 정책을 곧 발표할 계획이다. 현재 가장 관심을 두는 일은 언더그라운드에서 활동하는 해커들을 취업시키는 길을 여는 것. 올해 초 국방부가 국방정보본부 예하에 ‘사이버사령부’를 창설한다고 발표해 이와 해커들의 활동을 연계하는 방안도 고민 중이다. 이미 공군은 군에 보안사령부를 신설하는 등 해커의 실질적 활동을 보장하기 위한 계획안을 추진 중인 것으로 알려졌다.
경험 많은 그들 자율적 분위기 조성 필요
정부가 아무리 해커 끌어안기에 나선다고 해도 근본적인 태도 변화 없이는 해커를 정부 차원에서 수용할 수 없다. 지난해 말, 서울시는 해커 출신 공무원을 영입하고자 채용공고를 낸 바 있다. 당시 서울시는 공무원법 기본 요건에 따라 정보보안 분석요원도 나급 공무원이기 때문에 자격요건에 최소 ‘석사 이상’이라는 꼬리표를 붙여놨다.
대졸, 그것도 명문대 출신에 대한 선호도가 높은 대한민국 사회에서 아무리 날고 기는 해킹 실력을 지녀도 인정받기 어렵다. 해커들의 세계에서 학력 따위는 중요하지 않다. 해커들에게 중요한 것은 해킹 경험. 노트북 컴퓨터 도청 가능성을 언론에 발표하며 반향을 일으킨 시큐어연구회 이경태 회장도 “고등학교 때 해킹에 빠져 대학에 가는 걸 무의미하게 생각했다”고 말했다. 이 회장은 고등학교 때부터 해킹과 관련한 다양한 경험을 쌓아 1999년부터 시큐어연구회를 만들어 현재까지 운영하고 있다.
얼마 전 모 언론이 ‘해커 엑소더스’라는 제목의 기사에서 고액 연봉을 받고 해외로 빠져나가는 해커들의 실태를 다뤄 주목받은 바 있다. 하지만 해커들은 이 기사에서처럼 고액 연봉을 받기 위해서가 아니라 자유로운 근무환경 때문에 해외를 선호한다. 해커 커뮤니티 ‘파도콘’의 심준보 회장은 “해외에서는 해커들이 자유롭게 연구할 수 있는 환경을 마련해준다. 자유로운 출퇴근, 업무에 대한 자율성 등이 존중되는데 국내에서는 근태관리를 철저히 하고 조직에 융화되지 못하면 왕따를 만들어 버텨내기 어렵다”고 말한다.
해커들은 혼자 작업하며 성취감을 느끼고, 사람들을 잘 사귀지 못하는 특성 때문에 조직에 쉽게 융화하지 못하고 겉도는 경우가 많다. 이런 특성을 존중해 자율적으로 일할 수 있는 분위기를 조성해주는 것이 급선무라는 지적이다. 국내 기업의 연봉이 적은 것도 문제다. 보안 컨설팅을 전문으로 하는 국내 보안전문회사들의 규모가 영세해서 다수의 해커를 고용해 만족할 만한 급여를 주기 어렵다. 산업의 규모가 작아 고용이 안 되고, 고용이 안 되다 보니 산업 자체가 더욱 줄어드는 악순환이 되풀이된다.
학력 제한과 조직문화에 충성하기를 원하는 한국사회에서 해커들이 자신의 실력을 공식적으로 뽐낼 수 있는 공간은 각종 ‘해킹방어대회’ 정도다. 2009년 국내외에서 치러진 해킹대회는 14건 이상. 1월부터 거의 매달 각종 해킹대회가 열렸다. 해커들의 대축제라 할 수 있는 국제해킹대회 ‘데프콘’부터 ‘코드게이트 해킹방어대회’ ‘파도콘 라이브해킹대회’까지 해킹대회의 주체도 해커 커뮤니티·대학·기업·공공기관·언론 등 다양하다.
혹자는 해킹대회만 휩쓸어도 연봉이 나오겠다고 하는데 실상은 다르다. 매달 개최된다 해도 해외에서 열리는 대회에는 참가 자체가 어렵고, 해킹대회에서 내거는 상금과 노트북 등의 부상으로 생활하는 것은 불가능하다. 특히 해커들은 해킹대회가 기업의 이벤트성, 공공기관의 생색내기 행사로 전락하고 있다는 데 불만이 많다. 해킹대회를 통해 기업 이미지를 높이려는 전략에 그친다는 것. 해킹대회에서 우수한 성적을 거둔 인재를 영입, 기업에 활용하겠다는 목표를 내걸지만 실상 정직원으로 채용하는 경우는 미미하다. 앞서 언급한 학력과 조직문화가 장애물이 된다.
해커도 학원 가서 배운다?
정형화된 문제에 익숙해져 있고 인터넷을 통해 각종 해킹툴을 쉽게 구할 수 있다 보니, 정작 새로운 툴을 만들어낼 수 있는 실력을 갖춘 해커는 줄어들고 있다. 검색사이트에 들어가보면 해커를 꿈꾸는 어린 학생들이 해커가 되는 방법에 대해 질문하는 글이 많이 올라온다. 뭐든지 학원에서 배우는 데 익숙해진 탓에 해킹전문학원, 해커양성교육학원 등 각양각색의 학원이 있지만, 여기서 전문적인 해커가 되는 방법을 배울 수 있으리라 생각하면 오산이다. 학원에서는 해커를 양성하는 게 아니라 컴퓨터의 기본부터 전산전문가 정도를 양성하는 데 그친다.
실력 있는 해커 대부분은 해커 커뮤니티를 통해 양산된다. 터보테크에서 모의 해킹 업무를 담당하는 류재훈 대리는 “학원에서 기본을 배울 수도 있지만, 그렇게 해서 실력 있는 해커가 됐다는 이야기는 못 들었다”며 “대부분 게임 등에 흥미를 가져 좀더 컴퓨터에 능숙해질 수 없을까 하고 이것저것 인터넷을 뒤지다가 해커 커뮤니티에 들어가 해킹의 실질적인 기술을 배운다”고 말했다.
보안 관련 사고가 나면 늘 “건전한 해커의 필요성이 절실하다” “해커들을 양지로 끌어내 문제점을 진단하고 대책을 마련해야 한다”는 등의 말이 관행적으로 나온다. 관련 전문가들은 “개선되지 못하는 우리의 태도에 가장 근본적인 문제가 있다”고 진단한다. 보안업계 한 관계자는 “해커의 장점을 활용하려면 그들이 우리와 다른 특성을 지닌 존재라는 점을 인정해주는 열린 마음자세가 필요하다”고 말했다. 해커가 자신의 능력을 음지에서 활용해 정부와 국민의 적이 될지, 아니면 양지에서 국민의 안전을 위해 실력을 발휘할지는 결국 우리의 태도에 달렸다.
돈과 정보 캐내기 해커 양성 팔 걷어
중국 내 해커 양성학원은 온·오프라인에서 성업 중이다. 실력 있는 해커의 연 수입은 8억원에 이른다. 이 때문에 중국에서는 전문 해커를 지향하며 해킹학원에 등록하는 사람들이 줄을 섰다. 중국 국립컴퓨터네트워크응급대응센터(NCNERCCC)에 따르면 중국 내 해커 산업은 지난해 76억 위안(약 8조9000억원)의 경제손실 효과를 유발한 것으로 나타났다.
엄청난 매출 규모에서 보듯 중국 정부는 자국이 아닌 해외를 공격하는 해커에 대해서는 상당히 관대하다. 중국에 정통한 한 전문가는 “한국·일본·대만 등을 주로 공격하는데, 이를 통해 벌어들인 외화가 자국 경제를 강화하는 데 큰 몫을 하기 때문에 해외를 공격해 외화를 벌어들이는 것은 묵인하는 편”이라고 말했다.
한편 지난 7.7 DDoS의 배후가 북한으로 지목되면서 북한군에 대한 사이버테러의 위험성에도 빨간불이 켜졌다. 김정일 국방위원장은 “이미 현대 전쟁은 ‘기름전쟁’ ‘총알전쟁’에서 ‘정보전쟁’으로 변화했다. 인민무력부에서는 정찰국 정보전부대를 세계 최고의 정보전부대로 완성하고 그 위용을 만방에 떨치라”고 지시했다고 한다.
올해 초 ‘국가산업기술유출대응콘퍼런스’에서 전 북한컴퓨터대 교수 출신 김흥광 NK연대 대표는 “2009년 8월 북한군 정찰국 121소(북한국 사이버부대) 정보전사들이 미국과 남조선의 인터넷망을 무력화하는 성과를 거뒀으며, 더욱 강력하게 준비해 2차 공격을 시도할 계획”이라고 밝혔다. 북한군 총참모부는 정찰국 121소와 적공국 204소에 각 대학, 연구소의 소프트웨어, 컴퓨터 네트워크, 수학 영재들을 소환 배치해 능력 향상에 만전을 기하고 있다. 북한 최고의 컴퓨터영재학교인 금성1·2중학교 졸업생 가운데서도 최우수생들을 선발한다. 정찰국 121소를 세계 최정예의 정보전부대로 육성하기 위해 시설, 장비, 기재에 막대한 외화를 쏟아붓고 있다.
‘경찰청 e메일’ ‘외교부 출장정보’도 뚫려 있다
송홍근│동아일보 신동아 기자 carrot@donga.com│
● 행정안전부 대검찰청 국민권익위원회도 ‘심각’
● 보안전문가 A씨 “놀랍다. 이렇게 허술하다니… 지금 바로 뚫을 수 있다”
● 국세청 보건복지가족부만 ‘우수’
“일부 회원이 호기심으로 한 일을 수사기관이 포착하면서 한국 사회가 한바탕 떠들썩했죠.”
2003년 국세청 보안서버가 해킹으로 뚫린 적이 있다. 전 국민의 세금 정보가 유출될 뻔한 것. A씨는 7년 전 ‘와우해커(www.wowhacker.com)’ 회원 11명이 경찰에 붙잡힌 사건을 얘기하면서 웃었다.
A씨가 몸담았던 와우해커는 이후 한국에서 손꼽히는 보안 전문가 그룹으로 성장했다. 지난해 7월 디도스(DDoS) 공격 형태로 발생한 동시다발 사이버 테러 때는 10만명 넘는 이가 이 그룹이 만든 백신을 내려받았다.
해커는 ‘블랙’과 ‘화이트’로 나뉜다. A씨는 소문난 화이트해커(네트워크·정보보안 전문가). 블랙, 화이트는 종이 한장 차이다. 솜씨를 어떻게 쓰느냐에 따라 범죄자, 보안 전문가로 길이 갈린다.
해킹은 국가 안보와도 밀접하다. 중국 IP(인터넷 주소)를 사용하는 해커가 한미연합사 ‘작전계획 5027’의 일부 내용을 절취해간 사실이 지난해 12월 드러났다. 국군기무사령부는 북한 해커부대를 용의자로 의심했다. 지난해 7월 조선닷컴, 국민은행, 옥션, 행정안전부가 공격받았을 때도 북한은 국가정보원에 의해 배후로 지목됐다.
배후는 북한?
올 1월에도 국가·공공기관을 상대로 한 해킹 시도가 있었다. 국가·공공기관을 상대로 신원미상의 해외 조직이 해킹 메일을 유포한 것. 사이버 위협 경보단계가 정상→관심으로 한 단계 높아졌는데, 해외에 서버를 둔 지메일(gmail) 야후(yahoo)를 통해 공격이 진행됐다고 한다.
그렇다면 국가기관 웹페이지의 보안 수준은 어떨까? ‘신동아’가 국가기관의 해킹 방어능력을 점검한 정부 문건을 단독 입수했다. ‘보존기간 3개월’ ‘2010년 10월31일까지 대외비’로 분류된 이 문건엔 외교통상부 기획재정부 통일부 대검찰청 등 23개 국가기관 웹페이지의 해킹 방어 능력이 담겼다. 실태 점검은 지난해 10~12월 이뤄졌다.
“충격적이다”
‘신동아’는 앞서의 A씨와 또 다른 보안전문가 B씨, 대학에서 정보보안을 가르치는 C교수에게 기관과 웹페이지의 이름을 가린 문건을 보여준 뒤 평가를 부탁했다. 해커 출신인 A씨와 B씨는 “충격적이다” “믿을 수 없다”고 총평했다. C교수도 A, B씨가 문건에서 지적한 것과 똑같은 대목을 가리키면서 고개를 가로저었다.
“집에 가서 지금 바로 뚫을 수 있어요. 중요한 정보도 있을 텐데, 이런 식으로 관리하면…. 점검을 잘못한 게 아닌가 싶어요. 국가기관이 이렇게 허술할 순 없어요. 충격적입니다. 실력이 떨어지는 해커도 공격이 가능해요. 완전한 보안은 불가능하지만 이건 상황이 심각합니다.”(A씨)
B씨에게는 정부기관의 보안 실태가 담긴 문건이라는 점을 일러주지 않았다. B씨는 “구닥다리 방식으로도 정보를 빼올 수 있겠다. 기업들이냐?”고 되물었다. 국가기관이라고 답하자 B씨는 어이없다는 표정을 지었다.
A씨에게 “실제로 해킹해볼 수 있느냐”고 물었다. A씨는 불법이라면서 고개를 가로저었다.
“제가 아직도 요주의 대상이거든요.”
A씨는 “2003년 국세청 해킹 사건 때는 연루되지 않았으나 철없던 시절 나쁜 짓을 한 적이 있다”면서 이렇게 말했다.
“어릴 적 일인데, 1등 상품인 DVD에 눈이 멀어서 경품사이트를 해킹한 적이 있어요. 1등 당첨자를 제 이름으로 바꿔놓았죠. 그런데 해킹하면서 뭔가를 잘못 건드려 ‘1등’이 ‘1당’으로 바뀌었어요. 실수로 해킹 흔적을 남기는 바람에 역추적당했습니다. 경품사이트 해킹은 사실 아주 쉽습니다. 홈페이지를 임시로 만드는 터라 보안에 신경을 덜 쓰거든요.”
국세청은 ‘우수’
전문가 3인의 평가를 종합하면 국세청, 보건복지가족부는 ‘우수’했다. 두 기관이 운영하는 웹페이지들엔 취약점이 거의 없었다. 여성부 기상청 문화재청도 ‘양호’했다. 반면 행정안전부 대검찰청 경찰청 등이 운영하는 일부 웹페이지는 ‘심각’했다. 보안 실태가 ‘나쁨’이거나 ‘심각’한 웹페이지를 가진 기관이 23개 기관 중 18곳에 달했다.
우수 : 국세청 보건복지가족부
양호 : 여성부 기상청 문화재청
나쁨 : 기획재정부 국토해양부 외교통상부 통일부 농림수산식품부 법무부 병무청 산림청 중소기업청 특허청
심각 : 행정안전부 대검찰청 경찰청 해양경찰청 농촌진흥청 식품의약품안전청 국민권익위원회 공정거래위원회
‘심각’으로 분류된 정부기관은 하나같이 A공격(문건엔 구체적인 공격루트와 방법이 적혀 있으나 기사에선 A, B, C, D, E 공격으로 표기했다)에 취약함을 드러냈다. 이 공격을 통해 해커들은 관련 기관의 중요 정보를 획득하거나 데이터베이스의 구조, 내용을 파악할 수 있다. 외국의 해킹그룹 사이트엔 이 공격을 수행하는 도구도 공개돼 있다고 한다.
“A공격으로 어렵지 않게 관리자 권한을 획득할 수 있어요. 심각한 정도를 0부터 5까지로 나누면 5에 해당하는 사안입니다. 시급히 보완책을 마련해야 합니다.”(A씨)
“A공격은 널리 알려진 방법입니다. 웹페이지를 개발할 때부터 방어 코딩에 신경을 써야 하는데 그렇게 하지 않았던 것 같습니다.”(B씨)
“이 취약점을 이용해 디도스 공격도 할 수 있습니다. 정부기관 웹페이지가 다른 곳을 공격할 때 숙주 기능을 할 수도 있다는 거죠.”(C교수)
지난해 7월7일부터 사흘간 이어진 디도스 공격은 정보를 절취해가는 형태의 해킹은 아니었다. B씨는 “지난해 디도스 공격은 더욱 강력한 공격을 위해 트래픽 정보를 얻어가는 차원에서 한 것으로 볼 수 있다. 공격 대상의 능력과 특성을 알아두면 나중에 치명적 공격을 감행할 때 큰 도움이 된다”고 말했다.
국세청, 보건복지가족부를 제외한 거의 모든 기관에서 해커가 특정 정보조회명령을 입력해 특정 페이지를 노출시킨 뒤 디렉토리 정보나 라이브러리 정보를 획득할 수 있는 취약점도 발견됐다.
“요즘엔 이런 방법으로 공격자가 특정 페이지를 열어 볼 수 있는 곳이 많지 않습니다. 그 페이지를 통해 공격자가 해킹 힌트를 얻을 수 있거든요. 이런 것도 막아놓지 않다니 이해하기 어렵네요. 물론 이 페이지가 나타난다고 해서 해킹이 이뤄지는 건 아니지만 이건 아닙니다. 정부기관 웹페이지의 보안은 무척 중요하지 않나요. 국민의 개인정보가 범죄 집단에 넘어가거나 장관 소유 e메일의 패스워드 같은 게 외부로 알려지면….”(B씨)
“이 페이지가 나타나면 안 돼요. 비교적 심각한 사안입니다. 해커가 이 페이지를 통해 공격의 단서를 찾을 수 있기 때문입니다.”(C교수)
아이디/패스워드 해킹
지난해 7월12일 ‘연합뉴스’는 정보당국자의 말을 인용해 “2004년 이후 현재까지 북한이 해킹을 통해 최소 165만명에 달하는 남측 인사의 개인 신상정보를 빼낸 것으로 당국이 파악하고 있다”고 보도했다. ‘신동아’도 지난해 7월 “북한이 정동영 전 장관을 비롯한 안보당국자 e메일을 대량 해킹했다”고 보도한 바 있다.
“정보당국을 가장 긴장케 한 것은 해커그룹이 안보당국 관계자들의 e메일 패스워드를 다량 확보해 리스트화해 놓았다는 사실이었다. 그 직전까지 통일부 장관과 국가안전보장회의(NSC) 상임위원장을 겸임했던 정동영 당시 열린우리당 의장의 장관 시절 e메일을 포함해, 관련 당국자만 해도 수백 건의 e메일과 패스워드가 역해킹한 자료에서 확인됐다. 문제는 그 가운데 당국자들이 개인적으로 사용하는 포털사이트 e메일 패스워드뿐 아니라 정부기관 메일의 아이디와 패스워드도 일부 포함돼 있었다는 사실. 뒤집어 말하면 해당 정부 당국자들이 개인 메일을 통해 주고받은 자료를 해커들이 열람할 수 있었던 것은 물론, 정부 메일을 통해 오간 자료에도 접근할 수 있었다는 이야기였다. 이렇듯 유출된 e메일 패스워드의 당사자는 청와대 안보실과 국방부, 합동참모본부 등 주로 안보부처 당국자들이었지만, 사실상 정부 중앙부처 거의 전 기관에 걸쳐 패스워드 해킹이 시도됐다.”(신동아 2009년 8월호 ‘北, 2006년 정동영 전 장관 등 안보당국자 e메일 대량 해킹’ 제하 기사 참조)
이렇듯 정부를 상대로 한 사이버 공격은 어제오늘 일이 아니다. 2006년 안보당국자 e메일 대량 해킹은 “해커가 관리자인 것처럼 서버에 접근해 저장돼 있는 주요 인사들의 패스워드 계정을 통째로 복사해가는 식이었다”고 관계자들은 전한다.
관리자는 ‘신’
‘신동아’가 입수한 문건에 따르면 ‘경찰청 e메일’은 공격자가 B공격을 이용해 사용자의 개인 정보 및 중요 정보를 이용할 수 있다. 또한 해커가 ‘쉽게 관리자로 로그인이 가능하다’는 지적도 받았다. ‘사이버 경찰청’도 사정은 비슷하다. 관리자 페이지 접근이 가능했으며 특정 파일을 업로드해 가동하는 방식으로도 해킹이 가능하다.
A씨는 “관리자는 웹상에서 ‘신’이라고 생각하면 된다”면서 “외부인이 관리자 지위를 얻었다는 건 시스템 안에 있는 모든 정보를 빼낼 수 있다는 의미로 이해하면 된다”고 설명했다. 외교통상부의 ‘성과시스템’ ‘해외출장정보’ 등도 ‘쉽게 관리자로 로그인 가능’하거나 중요정보를 공격자가 이용할 수 있는 것으로 드러났다. 특히 외교통상부의 한 웹페이지는 로그인 인증을 우회해 관리자처럼 접근하는 것도 가능했다.
한 전문가는 “로그인을 우회해서 관리자 페이지로 접근할 수 있는 것은 보안 담당자의 실수 혹은 무지로도 보이는 사안으로 심각하면서도 멍청한 일”이라고 꼬집었다.
공격자가 해킹을 통해 관리자 페이지에 접근할 수 있는 웹페이지를 가진 기관은 10개가 넘었다. ‘신동아’가 ‘심각’으로 분류한 기관과 ‘나쁨’으로 분류한 기관의 일부가 그렇다. 해킹이라고 하기 어려운 단순한 방법으로 관리자 페이지에 접근이 가능한 곳도 적지 않다. 관리자가 취약한 아이디, 패스워드를 사용하는 곳이다.
“현금카드의 비밀번호를 1234 같은 식으로 지정한 것과 비슷한 경우죠. 시스템을 만든 회사가 관리자용으로 초기화해 놓은 아이디, 패스워드를 바꾸지 않고 사용하는 경우도 있을 것 같습니다.”(B씨)
“아이디, 패스워드 관리는 해킹의 문제라기보다 보안 의식의 문제예요. 해커들은 네트워크 업체가 관리자용으로 초기 설정하는 아이디, 패스워드를 알고 있거든요.” (C교수)
‘작전계획 5027’ 유출 사건도 보안 의식 해이에서 비롯했다. 일부 정부기관은 업무 PC와 인터넷 접속용 PC를 분리해 사용한다. 업무자료를 보관하는 PC는 인터넷 접속을 금지하고, 인터넷 접속전용 PC엔 업무자료를 보관하지 않는다. 작전계획 5027 유출은 담당자가 USB 메모리를 인터넷이 되는 컴퓨터에 꽂아놓고 사용하면서 발생한 것으로 알려졌다.
“조금만 신경 쓰면…”
이밖에도 대검찰청, 행정안전부, 해양경찰청 등 5개 기관에선 ‘파일 다운로드 취약점’이 발견됐다. 해커가 C공격으로 중요파일을 내려받을 수 있는 것. 전문가들은 “C공격은 오래된 해킹 방식인데, 아직도 방비가 안 돼 있다는 건 난센스”라고 꼬집었다.
통일부 남북출입사무소 웹페이지는 D공격으로 관리자 권한을 얻을 수 있는 것으로 나타났는데, A씨는 “쿠키를 조작하는 D공격은 해킹의 고전 중 고전이다. 보안이 그렇게 허술할 리가 없다”면서 혀를 찼다.
‘파일 업로드 취약점’이 드러난 웹페이지를 가진 국가기관도 10곳이 넘는다. 해커가 특정 파일을 업로드한 뒤 그 파일을 실행해 관리자 권한을 획득하거나 시스템 명령어를 실행할 수 있는 것이다. 한 기관의 특정 웹페이지는 Q·A게시판을 통해 악성파일을 올린 뒤 중요정보를 획득하거나 관리자 권한을 얻을 수 있는 것으로 나타났다. B씨는 “E공격으로 뚫을 수 있는 곳도 적지 않다”고 말했다.
‘신동아’가 입수한 사이버 보안 관련 정부 대외비 문건은 2009년 10~12월 점검 실태만 A4용지 60장이 넘고, 2008년치를 합하면 A4용지 200장이 넘는다. 그만큼 허점이 많다는 뜻이다.
C교수는 “정부가 보안의 중요성을 지금보다 더욱 강조해야 한다. 전문가를 늘리고 예산을 더 써야 한다. 공개된 외부망으로부터 해킹은 시작된다. 외부망이 뚫리면 기밀이 담긴 내부망도 위험해지는 것이다”라고 말했다. A씨도 “조금만 신경 쓰면 방비가 가능한 허점도 수두룩하다”면서 “하루빨리 보완해야 한다”고 지적했다.
“중국에서 메신저 피싱 같은 범죄에 이용되는 한국인의 개인정보가 거래된다”고 C교수는 덧붙였다. 개중엔 정부기관 웹페이지에서 흘러나간 정보가 있을지도 모를 일이다. B씨는 “국민, 국가의 정보를 보호하는 것은 국가의 의무 아니냐”고 되물었다.
'스크랩' 카테고리의 다른 글
| 세계 속 한국 기업 (0) | 2010.03.19 |
|---|---|
| ‘공부의 신’멤버 서울대생 2인이 공개한 1등 공부법 (0) | 2010.03.18 |
| 고우영 삼국지 (0) | 2010.03.16 |
| 국가대표 의료기술 65건 선정 (0) | 2010.03.15 |
| 뇌 속 욕망을 꺼내라 (0) | 2010.03.02 |